CVE-2014-0160(openssl)严重漏洞及其对应
描述
openssl 1.0.1系列中,1.0.1f以前的版本在实现上存在漏洞,未正确处理Heartbeat扩展,导致攻击者可以窃取服务器端敏感数据。
对应
- 请立刻升级openssl到1.0.1g版以上,并重启整个系统,以保证不会遗漏某些已经启动的进程。
- 如果有自行编译的程序使用了openssl。当这些程序静态链接或链接了自定义的openssl时,需要重新编译。
- 在有问题的设备上使用过的key,需要升级私钥。
- openssh不受影响,openvpn受影响。
作为证明,请执行以下语句自行检查。
ldd /usr/sbin/sshd | grep ssl
ldd /usr/sbin/openvpn | grep ssl
ldd /usr/sbin/nginx | grep ssl
for i in $(ps aux | awk '{print $2}'); do echo $i; ldd /proc/$i/exe | grep ssl; done
其他
根据昨晚看到的信息,这个漏洞会泄漏服务器端的通讯数据。因此请将所有session清空,在受影响期间使用过的用户名和密码请务必在3-5天后再修改一次(具体看服务商什么时候补掉漏洞)。