OpenSSL 严重 bug 允许攻击者读取 64k 内存,Debian 半小时修复

2014-04-08 12:05:06 +08:00
 anjunecha
http://www.solidot.org/story?sid=39042
7653 次点击
所在节点    信息安全
40 条回复
sobigfish
2014-04-08 20:27:37 +08:00
@zdf
apt-get update
apt-get upgrade 也是可以的,
(至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh
panlilu
2014-04-08 20:30:47 +08:00
我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。
sobigfish
2014-04-08 21:19:30 +08:00
www.booking.com IS VULNERABLE.
-.- 果然这家真是不注重安全。
sanddudu
2014-04-08 21:20:44 +08:00
@a2z 我现在更新到g,检测说修复了
官方也说升级到g
txlty
2014-04-08 23:58:22 +08:00
@aliuwr @Livid @mumchristmas @sdysj @Semidio @panlilu
是不是准确点描述,应该叫“远程https内存泄漏漏洞”?凡是可能出现在内存的数据都不再安全了?比如post上来赋值给变量的用户名、密码?
那么我有一个openssl命令生成的私钥,私钥从未放在服务器上。服务器里只有公钥。那么这对密钥应该不受此漏洞影响,可以继续使用吧?
niseter
2014-04-09 00:09:23 +08:00
@mumchristmas 你这是个空文件?
sNullp
2014-04-09 00:16:37 +08:00
@a2z 从具体漏洞的情况来看,只是libssl中的逻辑有问题,为什么“用旧版openssl库编译的东西都要重新编译”?
mumchristmas
2014-04-09 00:24:54 +08:00
@niseter 已经被删除了:(
niseter
2014-04-09 00:56:47 +08:00
@mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail
baichi
2014-04-09 01:02:15 +08:00
@niseter google快照里可以看到
bigredapple
2014-04-09 09:12:22 +08:00
yum -y update 已经修复
Semidio
2014-04-09 09:24:56 +08:00
@sNullp 应该是有可能已经泄露的原因吧?
Ever
2014-04-09 09:26:19 +08:00
别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。
sNullp
2014-04-09 10:10:08 +08:00
@Semidio 对,证书已泄漏的话需要更换证书,用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊
HowardMei
2014-04-09 10:34:48 +08:00
Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了
科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~
glasslion
2014-04-09 10:48:20 +08:00
Happy 0-day to you
Happy 0-day to you
Happy 0-day dear netizens
Happy 0-day to you!
zdf
2014-04-09 12:47:37 +08:00
我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。
anjunecha
2014-04-09 14:15:41 +08:00
@zdf 执行openssl version然后上张图来看看,
akann
2014-04-09 15:25:28 +08:00
@zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
这个d1_both.c的修改是关键啊。
aliuwr
2014-05-09 14:49:07 +08:00
@Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗?
@txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/107632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX