Что мне делать с ошибкой Heartbleed для сайтов, которые я запускаю?

9

Недавно объявленная ошибка Heartbleed в OpenSSL затрагивает многие сайты (70% Интернета).

Есть сайт:

http://www.heartbleed.com

Есть веб-тест:

http://filippo.io/Heartbleed/

Что я должен сделать, чтобы защитить сайты, которые я запускаю?

openssl heartbleed Мэтт Круикшанк
источник
6
Лучше ответили о сбое сервера - Heartbleed: что это такое и какие варианты можно смягчить?
Сатьяджит Бхат
5
… А также StackExchange для специалистов по безопасности. См. Security.stackexchange.com/questions/55076 и security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Каждый крупный сайт, связанный с компьютерами SE, теперь имеет этот вопрос ... Вероятно, скоро он будет задан даже на cooking.stackexchange.com : D
VL-80
Я добавил версию этого вопроса для конечных пользователей по адресу superuser.com/questions/739260/… (но кто-то уже отклонил ее без объяснения причин).
Данортон
1
@Nikolay, теперь я очень хочу спросить это на cooking.se ...
Джо

Ответы:

7

Вам следует:

  • Обновите вашу систему до последней версии OpenSSL
  • Создайте новые ключи и сертификаты для сервисов, использующих OpenSSL, и перезапустите их.
  • Отзыв прежних сертификатов
  • Отменить все установленные сеансы
Executifs
источник
Я не думаю, что вы знаете некоторые хорошие четкие инструкции для последних трех шагов, не так ли?
Пол Д. Уэйт
Отзыв и восстановление производственных сертификатов обычно включает в себя любой процесс, выполняемый вашим ЦС. Так как это варьируется от одного CA к следующему ...
Роджер Липскомб
Как обновить вашу систему, зависит от вашего менеджера пакетов. Отмена сессий зависит от приложения. Что касается сертификатов, вам придется связаться с вашим центром сертификации, но первым шагом должно стать создание нового ключа и CSR openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr:!
Выполняет
4

Украденный из комментария Reddit.

  1. Обновите вашу систему:

    sudo apt-get update
sudo apt-get upgrade

  2. Перезагрузите сервер

  3. openssl version -a чтобы убедиться, что у вас последняя версия!

Мэтт Круикшанк
источник
ОП доставляет!
Я Джон Галт
1
@IamJohnGalt Это не похоже на закрытый сейф или что-то в этом роде. ;)
Ƭᴇcʜιᴇ007
14
Это не достаточно. Ключи SSL необходимо заменить, без этого патч все равно сделает вас уязвимыми для кражи ключей в прошлом.
Kyeotic
Это предполагает, что ваша система использует в apt-getкачестве менеджера пакетов. Вопрос не предполагает, что это обязательно так.
Майкл
0

Более конкретно для Ubuntu или Debian в целом

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ссылка http://www.ubuntu.com/usn/usn-2165-1/

rleir
источник