Вопросы с тегом «heartbleed»

204
Heartbleed: что это такое и какие есть варианты для его смягчения?

Это канонический вопрос о понимании и устранении проблемы безопасности Heartbleed. Что такое CVE-2014-0160 АКА "Heartbleed"? В чем причина, какие ОС и версии OpenSSL уязвимы, каковы симптомы, существуют ли какие-либо методы для обнаружения успешного эксплойта? Как я могу проверить, не повреждена...

88
Heartbleed: как надежно и портативно проверить версию OpenSSL?

Я искал надежный и портативный способ проверки версии OpenSSL в GNU / Linux и других системах, чтобы пользователи могли легко определить, следует ли им обновить свой SSL из-за ошибки Heartbleed. Я думал, что это будет легко, но я быстро столкнулся с проблемой на Ubuntu 12.04 LTS с последней версией...

65
Heartbleed: затронуты ли другие услуги, кроме HTTPS?

Уязвимость OpenSSL «heartbleed» ( CVE-2014-0160 ) затрагивает веб-серверы, обслуживающие HTTPS. Другие сервисы также используют OpenSSL. Являются ли эти службы также уязвимыми для утечки данных, напоминающей сердечные приступы? Я думаю, в частности, о SSHD безопасный SMTP, IMAP и т. д. - dovecot,...

28
Мой сервер по-прежнему уязвим к сердечному кровотечению даже после обновления OpenSSL

У меня есть сервер Ubuntu 12.04. Я обновил OpenSSLпакет, чтобы исправить уязвимость. Но я все еще уязвим, даже если я перезапустил веб-сервер и даже весь сервер. Чтобы проверить мою уязвимость, я использовал: http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed ДПКГ дает: dpkg -l...

23
Как проверить, отозваны ли мои SSL-сертификаты?

Недавнее обнаружение уязвимой части сердца побудило центры сертификации переиздавать сертификаты. У меня есть два сертификата, которые были сгенерированы до того, как была обнаружена уязвимость. После того, как издатель SSL сказал мне восстановить сертификат, я обновил оба моих сервера / домена...

9
Нужно ли заменять ключи для OpenSSH в ответ на Heartbleed?

Я уже обновил свои серверы патчами. Нужно ли восстанавливать какие-либо закрытые ключи в отношении OpenSSH? Я знаю, что я должен восстановить любые сертификаты SSL. РЕДАКТИРОВАТЬ: Я не сказал это достаточно точно. Я знаю, что уязвимость в openssl, но я спрашивал, как это влияет на openssh и нужно...

9
Как установить уязвимую версию OpenSSL на сервер Linux?

Я хотел бы скомпилировать и установить уязвимую для Heartbleed версию OpenSSL на сервере, который я настраиваю для групповой задачи веб-безопасности (поскольку по понятным причинам они недоступны для установки из репозитория Ubuntu). Я скачал и скомпилировал из исходного кода OpenSSL 1.0.1f,...

8
Нужно ли обновлять сертификат snakeoil после обновления openssl (heartbleed)?

Я только что обновил свой сервер Debian Wheezy до последней версии пакета openssl, в которой исправлена ​​ошибка heartbleed. Я поддерживаю SSL на моем сервере, но только с сертификатом snakeoil. Мне просто интересно, есть ли на самом деле какие-либо опасения по поводу обновления сертификата змеиной...