iT邦幫忙

0

heartbleed漏洞修復問題

公司內有幾台老伺服器發現有在heartbleed的範圍內
openssl還在1.0.1e到1.0.1f
但是不管yum或是apt-get都顯示已經是最新版本
也沒辦法更新上去了 就算用到epel新版也是沒更新
不知道為什麼會沒新版可用
網頁看起來沒用到https 但是是有開443port的

去官網抓到openssl-1.1.0
但是手動測試更新的過程不斷的發生錯誤
問題非常的多
有沒有辦法解決這問題? 用yum更新新版

vicentli iT邦研究生 4 級 ‧ 2017-03-23 16:45:39 檢舉
我也想借樓請問一下,之前有些私簽是在舊版openssl產生的,若openssl要更新,簽章需要重發嗎?
hsiang11 iT邦好手 1 級 ‧ 2017-03-23 16:57:05 檢舉
網路上有說建議重發了 因為可能已經外洩
重新產生金鑰(Private Key 可能外洩)、Session(Session ID 可能外洩)、密碼(密碼也可能外洩),並且撤銷原本的金鑰。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

5
Ray
iT邦大神 1 級 ‧ 2017-03-23 17:08:54
最佳解答

CentOS 6 昇到 openssl-1.0.1e-16.el6_5.15.x86_64 以後的版本就解了:
https://wiki.centos.org/Security/Heartbleed
(版號在 el6_5.7 以後就可以, 不必一定要到 1.0.1g 以後的版本....)

這裡有說明為什麼不需要用 g 版, Redhat/Centos 選擇把更新回寫到 e 版內, 是因為: 如果直接更新到 g 版, 可能造成 openssl 新的套件, 會跟其他套件發生不相容的狀況, 為了維持系統的穩定度, 所以沒有上 g 版:

http://serverfault.com/questions/597134/openssl-not-getting-updated-to-1-0-1g-in-centos-6-2

https://security.stackexchange.com/questions/140806/openssl-version-1-0-1e-in-centos-6-heartbleed-vulnerability

我要發表回答

立即登入回答