openssl升级版本，防止 Heartbleed 漏洞

openssl升级版本，防止 Heartbleed 漏洞

贴下知乎的回答：

另外有一个测试网站是否受到影响的服务：Test your server for Heartbleed (CVE-2014-0160)

根 据页面上的介绍，这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据，甚至包括 SSL 证书私钥！漏洞2012年出现，昨天（2014年4月7日）才刚刚被修复。想问一下知乎上的信息安全专业人士们，这个漏洞的可利用性和影响范围究竟有多 大？如果是，那么这个曾今的 0day 是否被广泛利用？

很严重的漏洞，涉及开启了Heartbeat扩展的OpenSSL版本1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1
http://www.openssl.org/news/vulnerabilities.html
刚才在我们的服务器（Gentoo）上看了一下，用的正是1.0.1c的受威胁版本，不过我们并没有开启Heartbeat，所以并不会受到实际威胁，但还是打上了补丁，以备不时之需。
https://github.com/openssl/openssl/commit/7e840163c06c7692b796a93e3fa85a93136adbb2
如果你只是想检测一下你的服务器受不受威胁，现在有一款现成的工具可以用
titanous/heartbleeder 路 GitHub
也可以直接使用下面的OpenSSL命令来判断：

/usr/local/bin/openssl s_client -connect $website:443 -tlsextdebug 2>&1| grep 'TLS server extension "heartbeat" (id=15), len=1'

这个命令只告诉你是否有启用Heartbeat，但并不能说明是否受到威胁，还需要结合OpenSSL的版本进行判断。

Hacker News上面有人给出了这段脚本，能检测Alexa Top Million网站开启Heartbeat的服务器：

  INPUT=websites.csv
  OLDIFS=$IFS
  IFS=,
  [ ! -f $INPUT ] && { echo "$INPUT file not found"; exit 99; }
  while read rank website
  do
    echo "checking $website for heartbeat..."
    echo -e "quit\n" | /usr/local/bin/openssl s_client -connect $website:443 -tlsextdebug 2>&1| grep 'TLS server extension "heartbeat" (id=15), len=1'
  done < $INPUT
  IFS=$OLDIFS

Download Alexa Top 1,000,000 Websites for Free
I wrote a bash script to check the top 1000 websites and huge percentage of them...

跑了一小会儿，但好像并没发现什么有价值的信息。其实Heartbeat作为CRM在OpenSSL中用到的机会本就不多，再加上大网站的反应都很迅速，不容易出现大的纰漏。至于0Day发布之前有没有被人利用旧不得而知了。

现在各大发行版都已经打上补丁，请各位尽快更新。

当然，还可以参考《使用nmap 6.45扫描服务器心脏出血漏洞(heartbleed)》

我是用的Centos ，目前官方说受威胁的版本是1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 。在OpenSSL 1.0.1g版本中“ Heartbleed”漏洞被修复。所有centos6.5的系统运行OpenSSL 1.0.1e (openssl-1.0.1e-16.el6_5.4) 都会受到威胁，貌似只有6.5的会受到威胁。

先查看你的openssl版本,命令如下：

#openssl    version
或者
#openssl version  -a    //加 -a参数会显示更详细
又或
#yum info openssl     //redhat系列的可以用
ubuntu 和debian 可以用下面的命令：
#dpkg-query -l 'openssl'

好吧，哥用的就是OpenSSL 1.0.1f ，受威胁的版本。呵呵，真坑。不过没开启  Heartbleed ，又没设置https访问，没影响，不过还是升级下。

输入升级openssl版本的命令：

#yum clean all && yum update "openssl*"       //redhat系列可用这个
 
ubuntu和debian可以使用下面的命令：
#apt-get update
#apt-get upgrade
OpenSuSE使用下面的命令：
#zypper update

确保你安装的是openssl- 1.0.1e-16.el6_5.7版本  或者更新的版本。

然后再执行以下命令，检查还有哪些进程仍然在使用被删掉的旧版本openssl库 ：

#lsof   -n | grep ssl | grep DEL

没有就是正常了。有的话，那你就必须重新每个使用旧版本openssl库的进程了。

如果可能的话，建议重新生成ssl 私钥，改密码之类的。

注意： 还可以用下面这条命令检查你安装的这个版本的openssl时候打好了补丁，因为每次修复漏洞，打补丁后，软件包本身都会在日志(change-log)里记录这些信息。命令如下：

# rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160    // CVE-2014-0160是这个漏洞的代码，可以去openssl的官网查的
显示：
* Mon Apr 07 2014 Tom谩拧 Mr谩z <[email protected]> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
说明这个版本已经修复了这个漏洞。