OpenSSL 严重 bug 允许攻击者读取 64k 内存,Debian 半小时修复

2014-04-08 12:05:06 +08:00
 anjunecha
http://www.solidot.org/story?sid=39042
7653 次点击
所在节点    信息安全
40 条回复
DearMark
2014-04-08 12:38:51 +08:00
get it
Livid
2014-04-08 12:40:40 +08:00
apt-get update
apt-get install libssl1.0.0 libssl-dev
aliuwr
2014-04-08 13:28:01 +08:00
根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.
LazyZhu
2014-04-08 14:21:04 +08:00
nichan
2014-04-08 15:52:23 +08:00
是不是说我需要更换vps的密钥文件了?
mumchristmas
2014-04-08 16:31:15 +08:00
@Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。

有人评价这是计算机安全领域出现过的影响力最大的bug。
sdysj
2014-04-08 17:20:32 +08:00
哈哈,这下SSL该毁了,大站私钥都得换了。
cax0ch
2014-04-08 17:32:36 +08:00
还没看这个问题,得研究下
mumchristmas
2014-04-08 18:10:48 +08:00
MrMario
2014-04-08 18:14:33 +08:00
昨儿刚编译安装好1.0.1f ,唉 ╮(╯▽╰)╭
66CCFF
2014-04-08 18:20:33 +08:00
还好证书还没来得及用= =
sanddudu
2014-04-08 18:22:50 +08:00
@mumchristmas
这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出
临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数
http://www.openssl.org/news/secadv_20140407.txt
另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥
zdf
2014-04-08 18:47:10 +08:00
@sanddudu 是不是如果没有遭受攻击的则只需要按照Livid那样更新即可?
a2z
2014-04-08 18:59:33 +08:00
@sanddudu
g也没修复,用旧版openssl库编译的东西都要重新编译……坑爹
humiaozuzu
2014-04-08 19:35:52 +08:00
公钥认证的会受到影响吗
lightening
2014-04-08 20:02:34 +08:00
我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响……
Semidio
2014-04-08 20:15:45 +08:00
mumchristmas
2014-04-08 20:16:12 +08:00
@sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。
046569
2014-04-08 20:20:24 +08:00
@lightening
表示Debian squeeze也被漏洞无视了...
sinxccc
2014-04-08 20:22:51 +08:00
@sanddudu 但问题是你不知道有没有被攻击…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/107632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX