忘记密码?

一键登录

草根吧源码论坛

针对互联网业界存在“OpenSSL Heartbleed高危安全漏洞”的修复方法

查看: 471|回复: 1

针对互联网业界存在“OpenSSL Heartbleed高危安全漏洞”的修复方法

[复制链接]

5760

主题

704

热度

2197

贡献

管理员

Rank: 9Rank: 9Rank: 9

DZ专员

发表于 2014-4-11 22:12:06 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:

为确保现网业务安全、稳定运营,针对互联网业界存在OpenSSL Heartbleed高危安全漏洞”问题,我司运维对现网使用的OS进行细化梳理,整理相应的数据和修复方法如下。请您尽快核实,并参考下文指引进行修复。请您了解,感谢您的支持!

OpenSSL官方发布的公告, 出现问题的版本是:

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including

1.0.1f and 1.0.2-beta1.

现网服务器各版本OS中OpenSSL使用的场景:

场景

需要处理

CentOS安全版

安全

CentOS原生版

默认安全的,如果升级到1.0.1e版本,需要再次更新

ubuntu12.4

默认安全的,如果升级到1.0.1e版本,需要再次更新

SuSE

安全

用户自行编译

需自行编译

下面针对这几点分别做说明, 并在下文给出解决方案:

1)CentOS原生版, 包括CentOS6.2/6.3 redhat5.3等

这几个OS,默认的版本安全, 如果有升级到不安全版本, 需要再升级到最新版本。

这几个OS,默认安装的OpenSSL不在OpenSSL官方公告有安全漏洞的范围里, 默认安装OpenSSL -1.0.0-20.el6_2.5.x86_64

但是如果用户手工升级到1.0.1版本, 有可能升级为有问题的版本。

目前云平台软件源已经同步了修复版本, 可执行yum update openssl更新到最新版。

在系统上可查看相关信息

# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160

- fix CVE-2014-0160 - information disclosure in TLS

这个表示已经修复了漏洞.

2)Ubuntu 12.4

ubuntu和centos类似, 默认安装的版本是安全的, 如果有不慎升级到漏洞版本,需要再次升级.

默认版本是libssl1.0.0, 如果升级可以执行

用户可执行

apt-get update

apt-get install libssl1.0.0 或者 apt-get upgrade(这将升级所有已安装的包,谨慎操作)

验证本机安装的版本

root@VM-40-221-ubuntu:/etc/apt# dpkg -l|grep libssl

ii  libssl1.0.0 1.0.1-4ubuntu5.12            SSL shared libraries

root@VM-40-199-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version

Version: 1.0.1-4ubuntu5.12   

参考ubuntu官方关于此漏洞的说明

http://www.ubuntu.com/usn/usn-2165-1/

3)SuSE

使用OpenSSL 0.9.8a不存在安全问题.

4)用户自行编译的版本

这种情况下, 用户需要根据OpenSSL官方建议, 重新编译.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately

upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

解决方案

云平台提供给开发商的虚拟机默认是安全的,如果用户不慎安装带漏洞的OpenSSL版本,需要自行升级,云平台的下载源已经提供了最新版本的安装包。

各OS升级方法方法如下:

1)SuSE 该机器上的OpenSSL不需要升级

2)CentOS原生版,6.2/6.3; 默认是安全的,如果安装有带漏洞版本,需要再升级一次到最新版本

yum install openssl

确认方法:

# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160

- fix CVE-2014-0160 - information disclosure in TLS

3)Ubuntu12.4 默认是安全的, 如果安装有带漏洞的版本, ,需要再升级一次到最新版本

apt-get update

apt-get install libssl1.0.0

确认方法:

root@VM-40-199-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version

Version: 1.0.1-4ubuntu5.12

4)如果用户是自行编译的OpenSSL,请参考OpenSSL官方公告的方法重新编译

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately

upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.


帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表