这次 OpenSSL 漏洞,不同版本的应该如何修复?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 3663 天前的主题，其中的信息可能已经有所发展或是发生改变。

@Livid 给出的升级方法...

apt-get update
apt-get install libssl1.0.0 libssl-dev

@sobigfish 的升级方法

apt-get update
apt-get upgrade

不支持CENT OS

还有其他办法吗?

第 1 条附言 · 2014-04-09 13:09:51 +08:00

http://filippo.io/Heartbleed/

检测工具

get

apt

update

32 条回复 • 1970-01-01 08:00:00 +08:00

Livid

MOD

2014-04-09 08:44:10 +08:00 via iPhone

你运行 openssl version 看一下版本号，如果不是 1.0.1 就不用管了。

niseter

2014-04-09 08:46:09 +08:00 via Android

debian/ububtu
建议update后upgrade，有些组件比如ssh也收到影响。
centos试试下载g版本编译安装吧

sanddudu

2014-04-09 08:48:32 +08:00

根据官方的消息，用户应该升级到 1.0.1g
也可以带 -DOPENSSL_NO_HEARTBEATS 参数重新编译

SharkIng

2014-04-09 08:51:51 +08:00

使用这两个办法之后依然还是1.0.1c版本，好像是不是源没更新？

tension

2014-04-09 08:53:48 +08:00

@Livid OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

郁闷...

Livid

MOD

2014-04-09 08:54:35 +08:00

@tension 0.9.8 不受这个漏洞影响，不用管了。

sanddudu

2014-04-09 09:00:33 +08:00

@Livid 好像1.0.2-beta1也受波及

andybest

2014-04-09 09:01:02 +08:00

Ubuntu 12.04.4 LTS 下执行了
apt-get update
apt-get install libssl1.0.0 libssl-dev
apt-get upgrade

仍然是：
OpenSSL 1.0.1 14 Mar 2012

官方源没修改过，这咋整 @Livid @sobigfish

Livid

MOD

2014-04-09 09:02:26 +08:00

@andybest 用 heartbleeder 测试一下：

https://github.com/titanous/heartbleeder

bigredapple

2014-04-09 09:13:17 +08:00

yum -y update 已经修复了啊

niseter

2014-04-09 09:22:56 +08:00 via Android

@andybest 12.04应该是更新到 5.12那个，你这么查看不到的，安装时候显示

niseter

2014-04-09 09:24:01 +08:00 via Android

Ubuntu 12.04 LTS: 版本为 1.0.1-4ubuntu5.12

@andybest

ptsa

2014-04-09 09:50:45 +08:00

ubuntu 13.04 13.10 upgrade 后还是1.0.1c

initialdp

2014-04-09 09:54:16 +08:00

我们生产环境用的是Ubuntu 10.04,系统没有提示要更新。估计是没有受影响。

orzjerry

2014-04-09 10:01:50 +08:00

5.7是官方发布的最新的1.0.1e中修复漏洞的版本。（centos）

megaforce

2014-04-09 10:10:46 +08:00

centos下面，
我是按srpm里面spec文件中想关的Configure重新编译一次新的openssl，覆盖掉系统本身的

ray1980

2014-04-09 10:48:03 +08:00

1.0.1e 受影响么？

rrfeng

2014-04-09 11:20:06 +08:00

刚刚全部重新编译升级了 nginx ……

anjunecha

2014-04-09 11:28:02 +08:00

@rrfeng 我翘课几台服务器编译了一上午。。

Ever

2014-04-09 11:46:39 +08:00

@rrfeng
@anjunecha

更新完官方源里的libssl, restart下nginx就可以了, 不用重新编译。

rrfeng

2014-04-09 12:05:10 +08:00

@Ever
我们用的是自编译版本
openssl 是直接编译进去的

Zhongwei

2014-04-09 12:06:42 +08:00

@ray1980 1.0.1e 受影响，需要升级到 1.0.1g

icyflash

2014-04-09 12:39:13 +08:00

https://www.centos.org/forums/viewtopic.php?f=9&t=45827

raincious

2014-04-09 15:30:00 +08:00

@ray1980
@Zhongwei

CentOS如果你yum upgrade之后发现openssl version还是OpenSSL 1.0.1e-fips 11 Feb 2013，那么再运行

openssl version -a | head -2

检查一下。

For CentOS, the OpenSSL version did not change. Instead, only the compile time changed. To test if you are running the right version, look at the second line of the "openssl version -a" output:

Fixed version:

$ openssl version -a | head -2
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr 8 02:39:29 UTC 2014

Old version:

OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Wed Jan 8 18:40:59 UTC 2014

https://isc.sans.edu/diary.html

raincious

2014-04-09 15:33:33 +08:00

这是正确的Blog地址： https://isc.sans.edu/forums/diary/OpenSSL+CVE-2014-0160+Fixed/17917

另外Ubuntu系的机器貌似开了Security Update的话，自己已经更新好了，各位自行检查下。

Zhongwei

2014-04-09 15:57:38 +08:00

@rrfeng 跪谢，搞了半天发现有一台也是这种问题