編號 CVE-2014-0160 的 OpenSSL 漏洞
今天爆出來....
被稱為 Heart bleed = 心臟出血
可見這個漏洞有多嚴重
這個漏洞能讓攻擊者從伺服器的記憶體中讀取 64 KB 的資料 (不用登入伺服器或是特殊權限、管道)
這 64KB 的資料中可能包含 SSL 的 private key、用戶連線過程的 Session資料、Cookie, 甚至 使用者(或是管理員) 的帳號、密碼
果然也馬上出現一段 python 寫的攻擊程式碼:
OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞 | DEVCORE 戴夫寇爾
影響範圍:
使用 OpenSSL 1.0.1 ~ 1.0.1f 都中獎 (2011/12起的 OpenSSL )
(其它版本不影響)
有此問題的網站列表:
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
http://www.36kr.com/p/211031.html 文章內容
收到这个漏洞后我们最先测试了https://alipay.com 确认存在此漏洞,发起检测。
之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY 语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。
快速檢測:
Heartbleed test
個人筆記
OpenSSL 更新
下載 openssl-1.0.1g.tar.gz
tar zxf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config shared zlib
make
make install
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig -v
檢查更新成功否?
# openssl version -a
OpenSSL 1.0.1g 7 Apr 2014
... ..
Apache httpd 重新 make
apapche 2.2.27
./configure --enable-so --prefix=/home/httpd2227 --enable-ssl --with-ssl=/usr/local/ssl
相關連結
Heartbleed
OpenSSL 官網
The Heartbleed Hit List: The Passwords You Need to Change Right Now