根據網際網路安全中心的監測預報:安全協議openssl近日爆出嚴重安全漏洞。該安全漏洞被稱為「心臟流血」(heartbleed)。出現安全漏洞的版本openssl1.01自2023年3月12日已推出。這意味著數以千萬計的**已經具有潛在危險。 openssl在今年4月7日推出了openssl 1.01g,修復了這個漏洞。
openssl此漏洞的缺陷在於,使用某些特定openssl版本的web伺服器會儲存一些不受安全保護的資料。***可以獲取這些資料,重建有關使用者或金鑰的資訊,獲取使用者的加密資料。
由於openssl是apache和nginx web伺服器的預設ssl / tls證書,所以很多**比較容易被通過heartbleed 漏洞***。
作業系統公司現在向客戶提供了openssl的補丁。到目前為止,修復的linux作業系統包括:centos,debian,fedora,red hat,opensuse和ubuntu。suse linux企業伺服器(sles)沒有受到影響。
具體受影響的openssl版本為:
openssl project openssl 1.0.2-beta(包括1.0.2-beta和1.0.2-beta1)
openssl project openssl 1.0.1(包括1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
不受影響的版本:
openssl project openssl 0.98、1.0.0、1.0.1g和1.0.2-beta2
linux主機上的自我檢查:
$ whereis openssl #查詢openssl位置
openssl: /usr/bin/openssl /usr/include/openssl /usr/share/man/man1/openssl.1
$ ldd /usr/bin/openssl #openssl的版本資訊存放在libcrypto.so中
/usr/bin/openssl needs:
/usr/lib/libc.a(shr.o)
/usr/lib/libpthreads.a(shr_comm.o)
/usr/lib/libpthreads.a(shr_xpg5.o)
/usr/lib/libcrypto.a(libcrypto.so.0.9.8)
/usr/lib/libssl.a(libssl.so.0.9.8)
/unix
/usr/lib/libcrypt.a(shr.o)
$ ssh -v #顯示openssl的版本
openssh_5.8p1, openssl 0.9.8r 8 feb 2011
此openssh版本不受影響。
$cat /etc/issue
welcome to suse linux enterprise server 11 sp2 (x86_64) - kernel \r (\l).
suse企業版11不受影響。
其他系統版本及openssl版本需要進行打補丁或公升級。
centos修復 #yum -y install openssl
其他 #apt-get install openssl
OpenSSL 「心臟滴血」漏洞
漏洞描述 openssl 軟體存在 心臟出血 漏洞,該漏洞使攻擊者能夠從記憶體中讀取多達 64 kb 的資料,造成資訊洩露。漏洞危害 可被用來獲取敏感資料,包括會話 session cookie 賬號密碼等。修復方案 以下為各系統的修復方案供您參考 第一步 debian ubuntu apt get...
OpenSSL修復加密漏洞 加強Logjam防禦
openssl專案團隊為其密碼庫發布補丁以修復乙個嚴重的漏洞 該漏洞可能允許攻擊者解密https通訊 同時強化對logjam的防禦。解密攻擊漏洞是在openssl處理某些特定情況下dh金鑰交換時發現的。通常,openssl只使用所謂的 安全 質數,但在openssl1.0.2中,生成引數檔案的新方式...
檔案上傳漏洞檢查方法
第一步,搜尋存在漏洞的部落格 找到任意乙個目標後,首先要測試部落格管理員是否將上傳網頁程式檔案刪除了,如果使用者有一些安全意識,有可能會將預設的上傳網頁檔案刪除掉,這時就不行了。我們選 在位址後新增 upfile.asp 後回車,如果看到的提示資訊為 microsoft vbscript執行時錯誤 ...