У меня есть сервер Ubuntu 12.04. Я обновил OpenSSL
пакет, чтобы исправить уязвимость. Но я все еще уязвим, даже если я перезапустил веб-сервер и даже весь сервер.
Чтобы проверить мою уязвимость, я использовал:
ДПКГ дает:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
openssl version -a
?Ответы:
Убедитесь, что
libssl1.0.0
пакет также был обновлен (этот пакет содержит фактическую библиотеку,openssl
пакет содержит инструменты) и что все службы, использующие библиотеку, были перезапущены после обновления.Вы должны перезапустить все службы, используя openssl (перезапуск службы apache).
источник
Это возможно вы ложный положительный случай, согласно FAQ :
Вы можете протестировать свой сайт с помощью другого инструмента, такого как SSLLabs , и посмотреть, по-прежнему ли вы уязвимы.
Вам также следует сообщить о проблеме с помощью тестера http://filippo.io/Heartbleed, как описано выше.
источник
Если вы используете mod_spdy, убедитесь, что вы обновили установку mod_spdy. Подробнее см. Https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Вам нужно будет либо обновить mod_spdy deb, либо полностью удалить предыдущую версию.
источник
Вероятно, у вас на 443 прослушивается программа со статически связанной библиотекой openssl. Это означает, что у программы есть свой собственный openssl - обновите и эту программу! Если он недоступен, немедленно сообщите об этом продавцу и, если возможно, приостановите это приложение!
источник
Возможно, вы столкнулись с ошибкой, указанной на странице часто задаваемых вопросов . Похоже, что при определенных обстоятельствах вы можете получить уязвимое уведомление даже в исправленной системе.
Я бы предложил провести тестирование с помощью альтернативного теста, такого как Qualys, чтобы убедиться, что ваша система больше не уязвима. Если это не так, отправляйтесь на Github и сообщите об этом.
Это все еще сломано
Что? «Сервер», о котором вы говорите, может иметь статически связанную библиотеку OpenSSl. Это означает, что даже если вы обновили свою систему, ваше приложение все еще находится в опасности! Вам нужно немедленно поговорить с поставщиком программного обеспечения, чтобы получить исправление или отключить службу, пока вы этого не сделаете.
Действительно ли мне нужно отключить службу до выхода патча?
Да, запуск уязвимой службы чрезвычайно опасен до возможной небрежности! Вы можете передавать любые данные, которые сервер расшифровывает из транспорта, и даже не знать об этом!
источник
Убедитесь, что ваш nginx использует системную библиотеку: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/
источник
Это очень возможно, если приложение, работающее на 443, использует статическую библиотеку для OpenSSL. Если это так, вы должны обновить это приложение, чтобы больше не быть уязвимым.
источник
Я наконец смог исправить мою проблему, которая была похожа на OP. Мой сервер - это LAMP-стек от Bitnami. Следуя этим инструкциям:
http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9
источник