Shell's Home

Apr 8, 2014 - 1 minute read - Comments

CVE-2014-0160(openssl)严重漏洞及其对应

描述

openssl 1.0.1系列中,1.0.1f以前的版本在实现上存在漏洞,未正确处理Heartbeat扩展,导致攻击者可以窃取服务器端敏感数据。

对应

  1. 请立刻升级openssl到1.0.1g版以上,并重启整个系统,以保证不会遗漏某些已经启动的进程。
  2. 如果有自行编译的程序使用了openssl。当这些程序静态链接或链接了自定义的openssl时,需要重新编译。
  3. 在有问题的设备上使用过的key,需要升级私钥。
  4. openssh不受影响,openvpn受影响。

作为证明,请执行以下语句自行检查。

ldd /usr/sbin/sshd | grep ssl
ldd /usr/sbin/openvpn | grep ssl
ldd /usr/sbin/nginx | grep ssl

for i in $(ps aux | awk '{print $2}'); do echo $i; ldd /proc/$i/exe | grep ssl; done

其他

根据昨晚看到的信息,这个漏洞会泄漏服务器端的通讯数据。因此请将所有session清空,在受影响期间使用过的用户名和密码请务必在3-5天后再修改一次(具体看服务商什么时候补掉漏洞)。

参考

  1. nvd
  2. debian
  3. ubuntu
  4. openssl
  5. Is OpenSSH affected by this as well?