OpenSSL 严重 bug 允许攻击者读取 64k 内存，Debian 半小时修复

@zdf
apt-get update
apt-get upgrade 也是可以的，
（至少我这）debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh

我试了一下某网站，直接跑出了明文的密码，太恐怖了- -。

www.booking.com IS VULNERABLE.
-.- 果然这家真是不注重安全。

@a2z 我现在更新到g，检测说修复了
官方也说升级到g

@aliuwr @Livid @mumchristmas @sdysj @Semidio @panlilu
是不是准确点描述，应该叫“远程https内存泄漏漏洞”？凡是可能出现在内存的数据都不再安全了？比如post上来赋值给变量的用户名、密码？
那么我有一个openssl命令生成的私钥，私钥从未放在服务器上。服务器里只有公钥。那么这对密钥应该不受此漏洞影响，可以继续使用吧？

@mumchristmas 你这是个空文件？

@a2z 从具体漏洞的情况来看，只是libssl中的逻辑有问题，为什么“用旧版openssl库编译的东西都要重新编译”？

@niseter 已经被删除了：（

@mumchristmas 能麻烦你发一份给我吗？谢谢。 happy(dot)country(at)gmail

@niseter google快照里可以看到

yum -y update 已经修复

@sNullp 应该是有可能已经泄露的原因吧？

别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。

@Semidio 对，证书已泄漏的话需要更换证书，用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊

Ubuntu 14.04LTS Beta 没在列表上，看来是时候升级了
科学和工程的差别就在这里，科学总是严密的，工程则自带各种缺陷~~~

Happy 0-day to you
Happy 0-day to you
Happy 0-day dear netizens
Happy 0-day to you!

我用apt更新后显示还是1.0.1c，用那个网站检测提示没问题了，这是什么情况？系统为Ubuntu12.10。

@zdf 执行openssl version然后上张图来看看，

@zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
这个d1_both.c的修改是关键啊。

＠Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用，没有回复提醒。是因为我回复不够活跃吗？
＠txlty 如果你用这个私钥登录过系统，内存中就可能有私钥的数据，就可能被窃取了。。