Cosa devo fare per il bug Heartbleed per i siti che eseguo?


9

Il bug Heartbleed recentemente annunciato in OpenSSL interessa molti siti (70% di Internet).

C'è un sito web:

http://www.heartbleed.com

C'è un test basato sul web:

http://filippo.io/Heartbleed/

Cosa devo fare per proteggere i siti che eseguo?



5
... così come StackExchange per i professionisti della sicurezza. Vedere security.stackexchange.com/questions/55076 e security.stackexchange.com/questions/tagged/heartbleed .
JdeBP,

4
Tutti i principali siti relativi ai computer SE ora hanno questa domanda ... Probabilmente presto verrà posta anche su cooking.stackexchange.com : D
VL-80

Ho aggiunto una versione per l'utente finale di questa domanda su superuser.com/questions/739260/… (ma qualcuno l'ha già declassata, senza spiegazione).
danorton,

1
@Nikolay, ora sono così tentato di chiederlo su cooking.se ...
Joe

Risposte:


7

Dovresti:

  • Aggiorna il tuo sistema all'ultima versione di OpenSSL
  • Generare nuove chiavi e certificati per i servizi basati su OpenSSL e riavviarli
  • Revoca i precedenti certificati
  • Invalida tutte le sessioni stabilite

Suppongo che tu non conosca alcune belle istruzioni chiare per gli ultimi tre passaggi, vero?
Paul D. Waite,

La revoca e la rigenerazione dei certificati di produzione di solito comporta qualsiasi processo avviato dalla propria CA. Dato che varia da una CA all'altra ...
Roger Lipscombe

Come aggiornare il sistema dipende dal gestore dei pacchetti. Le sessioni di invalidamento dipendono dall'applicazione. Per quanto riguarda i certificati, si dovrà contattare il CA ma il primo passo dovrebbe essere quello di generare una nuova chiave e CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs

4

Rubato da un commento reddit.

  1. Aggiorna il tuo sistema:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Riavvia il server

  3. openssl version -a per assicurarti di avere l'ultima versione !!


L'OP offre!
Sono John Galt l'

1
@IamJohnGalt Non è come se fosse una cassaforte chiusa a chiave o qualcosa del genere. ;)
Ƭᴇcʜιᴇ007,

14
Questo non è sufficiente. Le chiavi SSL devono essere sostituite, senza che una patch rimanga vulnerabile al furto di chiavi passato.
Kyeotic,

Ciò presuppone che il sistema utilizzi apt-getcome gestore dei pacchetti. La domanda non suggerisce che questo sia necessariamente il caso.
Michael,

0

Più specificamente per Ubuntu o Debian in generale

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Rif http://www.ubuntu.com/usn/usn-2165-1/

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.