OpenSSL 重大漏洞 Heartbleed

2014040922:18



編號 CVE-2014-0160  的 OpenSSL 漏洞
今天爆出來....
被稱為 Heart bleed = 心臟出血
可見這個漏洞有多嚴重

這個漏洞能讓攻擊者從伺服器的記憶體中讀取 64 KB 的資料 (不用登入伺服器或是特殊權限、管道)
這 64KB 的資料中可能包含 SSL 的 private key、用戶連線過程的 Session資料、Cookie, 甚至 使用者(或是管理員) 的帳號、密碼


果然也馬上出現一段 python 寫的攻擊程式碼:

OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞 | DEVCORE 戴夫寇爾




影響範圍:

使用 OpenSSL 1.0.1 ~ 1.0.1f 都中獎 (2011/12起的 OpenSSL )
(其它版本不影響)



有此問題的網站列表:
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt


 http://www.36kr.com/p/211031.html 文章內容

收到这个漏洞后我们最先测试了https://alipay.com 确认存在此漏洞,发起检测。

之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY 语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。


快速檢測:

Heartbleed test





個人筆記


OpenSSL 更新

下載 openssl-1.0.1g.tar.gz
tar zxf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config shared zlib
make
make install

ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig -v


檢查更新成功否?
# openssl version -a
OpenSSL 1.0.1g 7 Apr 2014
... .. 



Apache httpd  重新 make

apapche 2.2.27
./configure --enable-so --prefix=/home/httpd2227 --enable-ssl --with-ssl=/usr/local/ssl




相關連結


Heartbleed

OpenSSL 官網

The Heartbleed Hit List: The Passwords You Need to Change Right Now