Что мне делать с ошибкой Heartbleed для сайтов, которые я запускаю?

1563
Matt Cruikshank

Недавно объявленная ошибка Heartbleed в OpenSSL затрагивает многие сайты (70% Интернета).

Есть сайт:

http://www.heartbleed.com

Есть веб-тест:

http://filippo.io/Heartbleed/

Что я должен сделать, чтобы защитить сайты, которые я запускаю?

9
Лучше ответили на [sf] - [Heartbleed: что это такое и какие есть варианты для его смягчения?] (Http://serverfault.com/q/587329) Sathya 10 лет назад 6
… А также StackExchange для специалистов по безопасности. См. Http://security.stackexchange.com/questions/55076/ и http://security.stackexchange.com/questions/tagged/heartbleed. JdeBP 10 лет назад 5
Каждый крупный сайт, посвященный компьютерам SE, теперь имеет этот вопрос ... Вероятно, скоро он будет задан даже на [cooking.stackexchange.com] (http://cooking.stackexchange.com/): D VL-80 10 лет назад 4
Я добавил версию этого вопроса для конечного пользователя по адресу http://superuser.com/questions/739260/what-should-end-users-do-about-the-heartbleed-security-bug (но кто-то уже проголосовал за него без объяснения причин). danorton 10 лет назад 0
@ Николай, теперь я так хочу спросить об этом на cook.se ... Joe 10 лет назад 1

3 ответа на вопрос

7
Executifs

Вам следует:

  • Обновите вашу систему до последней версии OpenSSL
  • Создайте новые ключи и сертификаты для сервисов, использующих OpenSSL, и перезапустите их.
  • Отзыв прежних сертификатов
  • Отменить все установленные сеансы
Я не думаю, что вы знаете некоторые хорошие четкие инструкции для последних трех шагов, не так ли? Paul D. Waite 10 лет назад 0
Аннулирование и восстановление производственных сертификатов обычно включает в себя любой процесс, выполняемый вашим ЦС. Так как это варьируется от одного CA к другому ... Roger Lipscombe 10 лет назад 0
Как обновить вашу систему, зависит от вашего менеджера пакетов. Отмена сессий зависит от приложения. Что касается сертификатов, вам необходимо связаться с вашим ЦС, но первым шагом должно стать создание нового ключа и CSR: `openssl req -nodes -newkey rsa: 4096 -keyout post_heartbleed.key -out post_heartbleed.csr`! Executifs 10 лет назад 0
4
Matt Cruikshank

Украдено из комментария Reddit.

  1. Обновите вашу систему:

    sudo apt-get update sudo apt-get upgrade

  2. Перезагрузите сервер

  3. openssl version -a чтобы убедиться, что у вас последняя версия!

ОП доставляет! I am John Galt 10 лет назад 0
@IamJohnGalt Это не похоже на закрытый сейф или что-то в этом роде. ;) Ƭᴇcʜιᴇ007 10 лет назад 1
Это ** не ** достаточно. Ключи SSL необходимо заменить, без этого патч все равно оставит вас уязвимыми для кражи ключей в прошлом. Tyrsius 10 лет назад 14
Это предполагает, что ваша система использует `apt-get` в качестве менеджера пакетов. Вопрос не предполагает, что это обязательно так. Michael 10 лет назад 0
0
rleir

More specifically for Ubuntu or Debian in general

/etc/init.d/apache2 stop aptitude update dpkg -l \*libssl\* aptitude safe-upgrade libssl1.0.0 dpkg -l \*libssl\* /etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

Похожие вопросы