如何确定您的服务器是否受到Openssl Heartbleed漏洞(CVE-2014-0160)的影响,以及如何修复
OpenSSL已经发现了一个严重的漏洞,该漏洞被命名为“ Heartbleed” ,影响Openssl 1.0.1版中的心跳实现。 该软件可以用于获取SSL连接的私钥,因此立即更新服务器很重要。 该错误在OpenSSL 1.0.1g中得到修复。 所有主要的Linux发行版都发布了该漏洞的更新。
了解您的服务器是否受到影响
运行命令:
openssl version
获取openssl的版本号。 如果命令显示例如:
openssl version
OpenSSL 1.0.1e 11 Feb 2013
那么您的服务器可能会受到弱点,因为版本低于1.0.1g。 但是有些Linux发行版修补软件包,请参阅下面的说明,以了解您的服务器上的软件包是否已修补。
如果您的服务器使用0.9.8版本,就像Debian挤压一样使用,那么由于心跳功能已在OpenSSL 1.0.1和更高版本中实现,因此服务器不会受到影响。
openssl version
OpenSSL 0.9.8o 01 Jun 2010
修复漏洞
要修复此漏洞,请安装服务器的最新更新。
Debian
apt-get update
apt-get upgrade
Ubuntu
apt-get update
apt-get upgrade
Fedora和CentOS
yum update
OpenSuSE
zypper update
然后重新启动所有使用OpenSSL的服务 。 在ISPConfig 3服务器上,重新启动,例如这些服务(安装时):sshd,apache,nginx,postfix,dovecot,courier,pure-ftpd,bind和mysql。 如果你想绝对确定你没有错过任何服务,那么在shell上运行“ reboot
”来重新启动整个服务器。
检查Linux更新是否安装了正确的包
安装Linux更新后,检查openssl包是否已正确升级。 一些Linux发行版
修补程序包,因此“openssl版本”并不总是显示是否已安装修复该漏洞的正确修补程序。
检查Debian和Ubuntu上的软件包:
dpkg-query -l 'openssl'
这里输出一个正确修补的Debian 7(Wheezy)服务器:
dpkg-query -l 'openssl'
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-===================-===============-==============-============================================
ii openssl 1.0.1e-2+deb7u5 amd64 Secure Socket Layer (SSL) binary and related
对于Fedora和CentOS,请使用此命令查找已安装的软件包名称:
rpm -qa | grep openssl
以下是包含固定版本的软件包名称的发行说明的链接:
Debian: http : //www.debian.org/security/2014/dsa-2896
Ubuntu: http : //www.ubuntu.com/usn/usn-2165-1/
Fedora: https : //lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS: http : //lists.centos.org/pipermail/centos-announce/2014-April/020249.html
测试
现在有一个测试可用来验证您是否成功关闭了服务器中的安全漏洞。 测试可以在这里找到:
这个主题的问答在youcl论坛
关于这个主题的问题和答案在youcl论坛: