这次 OpenSSL 漏洞,不同版本的应该如何修复?

@Livid 给出的升级方法...

apt-get update
apt-get install libssl1.0.0 libssl-dev

@sobigfish 的升级方法

apt-get update
apt-get upgrade

不支持CENT OS

还有其他办法吗?

rrfeng

2014-04-09 12:05:10 +08:00

@Ever
我们用的是自编译版本
openssl 是直接编译进去的

Zhongwei

2014-04-09 12:06:42 +08:00

@ray1980 1.0.1e 受影响，需要升级到 1.0.1g

icyflash

2014-04-09 12:39:13 +08:00

https://www.centos.org/forums/viewtopic.php?f=9&t=45827

raincious

2014-04-09 15:30:00 +08:00

@ray1980
@Zhongwei

CentOS如果你yum upgrade之后发现openssl version还是OpenSSL 1.0.1e-fips 11 Feb 2013，那么再运行

openssl version -a | head -2

检查一下。

For CentOS, the OpenSSL version did not change. Instead, only the compile time changed. To test if you are running the right version, look at the second line of the "openssl version -a" output:

Fixed version:

$ openssl version -a | head -2
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr 8 02:39:29 UTC 2014

Old version:

OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Wed Jan 8 18:40:59 UTC 2014

https://isc.sans.edu/diary.html

raincious

2014-04-09 15:33:33 +08:00

这是正确的Blog地址： https://isc.sans.edu/forums/diary/OpenSSL+CVE-2014-0160+Fixed/17917

另外Ubuntu系的机器貌似开了Security Update的话，自己已经更新好了，各位自行检查下。

Zhongwei

2014-04-09 15:57:38 +08:00

@rrfeng 跪谢，搞了半天发现有一台也是这种问题

cakegg

2014-04-09 19:45:10 +08:00

很想知道这个漏洞是哪个大神发现的???

anjunecha

2014-04-09 19:50:20 +08:00

@cakegg 由安全公司 Codenomicon 的研究人员和Google安全小组的Neel Mehta相互独立地发现

mengzhuo

2014-04-09 21:20:31 +08:00

Ubuntu已经发布了1.0.1的补丁直接upgrade就好了

greyby

2014-04-10 01:47:16 +08:00

@Livid 自己指定OpenSSL源码目录(with-openssl)编译安装的nginx 还需要重新编译 http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

princeofwales

2014-04-10 08:25:10 +08:00

windows下IIS的https要不要搞？

Emory_M

2014-04-10 13:35:44 +08:00

@raincious Thx :)

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/107773

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.