OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測
- - Tsung's BlogOpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own).
OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測
标签:
News
news
openssl
security
ssl
| 发表时间:2014-04-10 08:47 | 作者:Tsung
出处:http://blog.longwin.com.tw
OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.
OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測
關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)
這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.
Debina / Ubuntu Linux 需要做的事情
- dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
- 使用下述檢測工具測試
- Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
- 自我測試工具: http://s3.jspenguin.org/ssltest.py 或 備份, ex: python ssltest.py ifttt.com
- 檢測是否有問題:
- 有問題, 請到上述文章去看有哪些事情要作.
- 沒有問題, 請執行套件升級:
- apt-get update
- apt-get upgrade # 注意 openssl、libssl.
- 更新後的版本是:
- Debian Wheezy: openssl 1.0.1e-2+deb7u6
- Debian Jessie: openssl 1.0.1g-1
- Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
- Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
- 注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立
相關網頁
- existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug - 有詳細的原因、說明
- CVE - CVE-2014-0160
- OpenSSL 的公告: TLS heartbeat read overrun (CVE-2014-0160)
- Heartbleed Bug
- Heartbleed資安漏洞,數十萬伺服器可能洩密 - Inside 網摘
- OpenSSL 曝出重大缺陷 黑客可多次竊取數據
The post OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測 appeared first on Tsung's Blog.
相关 [openssl cve heartbleed] 推荐:
漏洞播报:OpenSSL “heartbleed” CVE-2014-0160 安全漏洞附利用测试exp
- - Seay's blog 网络安全博客测试脚本: http://pan.baidu.com/s/1hq41y9A . OpenSSL官方网站4月7日发布 公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:. 升级到最新版本OpenSSL 1.0.1g.
heartbleed漏洞检查工具集合
- - FreeBuf.COM4月9日,一个代号“Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,本文总结了网友开发的Heartbleed漏洞检查工具,如下:. CVE-2014-0160 check Go语言版: Heartbleed.zip python版:ssltest.py.
Async Http Client 欺骗漏洞 (CVE-2013-7397)
- - 开源中国社区最新新闻发布日期:2015-06-25. 更新日期:2015-06-25. Async Http Client是异步HTTP及WebSocket客户端Java库. Async Http Client 1.9.0之前版本,会跳过了X.509证书验证,除非keyStore位置及trustStore位置均显式设置.
撬开 FB50 智能锁 (CVE-2019-13143)
- -......以及物联网安全方面的经验教训. ( 最初发布在 SecureLayer7的博客,我的编辑). 有问题的锁具是由深圳龙兄科技有限公司生产的FB50智能锁. 这种锁在许多电子商务网站上以多个品牌销售,估计有超过15k +用户. 锁通过蓝牙与手机配对,并需要Play / App Store中的OKLOK app才能正常运行.
linux下安装nginx、pcre、zlib、openssl
- - CSDN博客推荐文章1、安装nginx之前需要安装 PCRE库的安装. 最新下载地址 ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/. tar –zxvf pcre-8.21.tar.gz,解压目录为:pcre-8.21. 然后进入到 cd pcre-8.21,进行配置、编译、安装.
Google创建OpenSSL分支,宣布BoringSSL
- - Solidot在OpenBSD创建OpenSSL分支LibreSSL两个月后,Google宣布了它创建的OpenSSL分支BoringSSL. Google安全团队的Adam Langley在个人博客上说,他们使用了超过70个OpenSSL补丁,部分被接受合并到了OpenSSL主库,但大部分没有. 随着Android、Chrome和其它项目开始需要这些补丁的子集,事情日益变得复杂,要保证所有补丁在不同代码库正常工作需要太多精力.
Heartbleed测试网站在数小时内被窃走私钥
- - SolidotOpenSSL Heartbleed漏洞的危险程度被安全专家称为是“灾难级”,攻击者能利用该漏洞窃走受影响网站的用户密码和私钥,此前的研究发现用户明文密码确实会暴露,但窃取私钥尚未有报道. 云计算公司CloudFlare发起了一个 Heartbleed挑战赛,使用nginx Web服务器和存在漏洞的OpenSSL版本搭建了一个网站,邀请挑战者通过攻击窃取私钥.
Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)
- - C1G军火库发布时间: 2012-11-05 (GMT+0800). Apache Tomcat是一个流行的开放源码的JSP应用服务器程序. Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞,成功利用后可允许攻击者绕过安全限制并执行非法操作.
openssl心脏出血bug的补丁修复
- - 行业应用 - ITeye博客先到 https://www.openssl.org/source/ 这里下载 openssl-1.0.1g.tar.gz. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.