This topic created in 4412 days ago, the information mentioned may be changed or developed.
Supplement 1 · Apr 9, 2014
一。关于Heartbleed 漏洞测试工具:
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
Supplement 2 · Apr 9, 2014
来自下午1点多的 [阿里安全] 的官方微博的公告: [阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。] ,要改密码的赶紧可以改了
 |
1
DearMark Apr 8, 2014
get it
|
 |
2
Livid MOD PRO  1
apt-get update
apt-get install libssl1.0.0 libssl-dev |
 |
3
aliuwr Apr 8, 2014
根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.
|
 |
4
LazyZhu Apr 8, 2014
|
 |
5
nichan Apr 8, 2014
是不是说我需要更换vps的密钥文件了?
|
 |
6
mumchristmas Apr 8, 2014
@Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。
有人评价这是计算机安全领域出现过的影响力最大的bug。 |
 |
7
sdysj Apr 8, 2014
哈哈,这下SSL该毁了,大站私钥都得换了。
|
 |
8
cax0ch Apr 8, 2014
还没看这个问题,得研究下
|
|
9
mumchristmas Apr 8, 2014
|
 |
10
MrMario Apr 8, 2014
昨儿刚编译安装好1.0.1f ,唉 ╮(╯▽╰)╭
|
 |
11
66CCFF Apr 8, 2014
还好证书还没来得及用= =
|
 |
12
sanddudu Apr 8, 2014
@mumchristmas
这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出 临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数 http://www.openssl.org/news/secadv_20140407.txt 另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥 |
 |
15
humiaozuzu Apr 8, 2014
公钥认证的会受到影响吗
|
 |
16
lightening Apr 8, 2014
我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响……
|
 |
17
Semidio Apr 8, 2014
|
|
18
mumchristmas Apr 8, 2014
@sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。
|
 |
19
046569 Apr 8, 2014
@lightening
表示Debian squeeze也被漏洞无视了... |
 |
21
run2 Apr 8, 2014
@zdf
apt-get update apt-get upgrade 也是可以的, (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh |
 |
22
panlilu Apr 8, 2014
我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。
|
|
23
run2 Apr 8, 2014
www.booking.com IS VULNERABLE.
-.- 果然这家真是不注重安全。 |
 |
25
txlty Apr 8, 2014
|
 |
26
niseter Apr 9, 2014
@mumchristmas 你这是个空文件?
|
|
28
mumchristmas Apr 9, 2014
@niseter 已经被删除了:(
|
|
29
niseter Apr 9, 2014
@mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail
|
 |
31
bigredapple Apr 9, 2014
yum -y update 已经修复
|
 |
33
Ever Apr 9, 2014
别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。
|
 |
35
HowardMei Apr 9, 2014
Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了
科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~ |
 |
36
glasslion Apr 9, 2014
Happy 0-day to you
Happy 0-day to you Happy 0-day dear netizens Happy 0-day to you! |
 |
37
zdf Apr 9, 2014 via iPhone
我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。
|
 |
39
akann Apr 9, 2014
@zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 这个d1_both.c的修改是关键啊。 |
|
40
aliuwr May 9, 2014
@Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗?
@txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。 |
Select Language