OpenSSL 严重 bug 允许攻击者读取 64k 内存，Debian 半小时修复

DearMark

2014-04-08 12:38:51 +08:00

get it

Livid

2014-04-08 12:40:40 +08:00

apt-get update
apt-get install libssl1.0.0 libssl-dev

aliuwr

2014-04-08 13:28:01 +08:00

根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.

LazyZhu

2014-04-08 14:21:04 +08:00

https://www.openssl.org/news/secadv_20140407.txt

https://www.openssl.org/source/openssl-1.0.1g.tar.gz

nichan

2014-04-08 15:52:23 +08:00

是不是说我需要更换vps的密钥文件了？

mumchristmas

2014-04-08 16:31:15 +08:00

@Livid 这次不只升级库这么简单了，目前所有在1.0.1下运作的SSL证书全都要更换，heartbleed攻击不会在服务器端留下任何log痕迹。

有人评价这是计算机安全领域出现过的影响力最大的bug。

sdysj

2014-04-08 17:20:32 +08:00

哈哈，这下SSL该毁了，大站私钥都得换了。

cax0ch

2014-04-08 17:32:36 +08:00

还没看这个问题，得研究下

mumchristmas

2014-04-08 18:10:48 +08:00

样例：
http://s3.jspenguin.org/ssltest.py

MrMario

2014-04-08 18:14:33 +08:00

昨儿刚编译安装好1.0.1f ，唉 ╮(╯▽╰)╭

66CCFF

2014-04-08 18:20:33 +08:00

还好证书还没来得及用= =

sanddudu

2014-04-08 18:22:50 +08:00

@mumchristmas
这个漏洞目前只在 1.0.1g 修复了，beta 版本要 1.0.2-beta2 才会修复这个漏洞，目前还没出
临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数
http://www.openssl.org/news/secadv_20140407.txt
另外更换秘钥是为了保险，如果没有遭受攻击，不一定要更换秘钥

zdf

2014-04-08 18:47:10 +08:00

@sanddudu 是不是如果没有遭受攻击的则只需要按照Livid那样更新即可？

a2z

2014-04-08 18:59:33 +08:00

@sanddudu
g也没修复，用旧版openssl库编译的东西都要重新编译……坑爹

humiaozuzu

2014-04-08 19:35:52 +08:00

公钥认证的会受到影响吗

lightening

2014-04-08 20:02:34 +08:00

我们用的 Ubuntu 12.04 LTS 太老了，没有受这个 bug 影响……

Semidio

2014-04-08 20:15:45 +08:00

http://heartbleed.com/

mumchristmas

2014-04-08 20:16:12 +08:00

@sanddudu 在没有证据证明未遭受攻击的情况下，基于信息安全原则，需视同已遭受攻击的情况进行处理。

046569

2014-04-08 20:20:24 +08:00

@lightening
表示Debian squeeze也被漏洞无视了...

sinxccc

2014-04-08 20:22:51 +08:00

@sanddudu 但问题是你不知道有没有被攻击…

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/107632

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.