This topic created in 4425 days ago, the information mentioned may be changed or developed.
Supplement 1 Apr 9, 2014
一。关于Heartbleed 漏洞测试工具:
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
Supplement 2 Apr 9, 2014
来自下午1点多的 [阿里安全] 的官方微博的公告: [阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。] ,要改密码的赶紧可以改了
 | 1 DearMark Apr 8, 2014 get it |
 | 2 Livid MOD PRO  1 apt-get update apt-get install libssl1.0.0 libssl-dev |
 | 3 aliuwr Apr 8, 2014 根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据. |
 | 4 LazyZhu Apr 8, 2014 |
 | 5 nichan Apr 8, 2014 是不是说我需要更换vps的密钥文件了? |
 | 6 mumchristmas Apr 8, 2014 @Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。 有人评价这是计算机安全领域出现过的影响力最大的bug。 |
 | 7 sdysj Apr 8, 2014 哈哈,这下SSL该毁了,大站私钥都得换了。 |
 | 8 cax0ch Apr 8, 2014 还没看这个问题,得研究下 |
| 9 mumchristmas Apr 8, 2014 |
 | 10 MrMario Apr 8, 2014 昨儿刚编译安装好1.0.1f ,唉 () |
 | 11 66CCFF Apr 8, 2014 还好证书还没来得及用= = |
 | 12 sanddudu Apr 8, 2014 @mumchristmas 这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出 临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数 http://www.openssl.org/news/secadv_20140407.txt 另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥 |
 | 15 humiaozuzu Apr 8, 2014 公钥认证的会受到影响吗 |
 | 16 lightening Apr 8, 2014 我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响…… |
 | 17 Semidio Apr 8, 2014 |
| 18 mumchristmas Apr 8, 2014 @sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。 |
 | 19 046569 Apr 8, 2014 @lightening 表示Debian squeeze也被漏洞无视了... |
 | 21 run2 Apr 8, 2014 @zdf apt-get update apt-get upgrade 也是可以的, (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh |
 | 22 panlilu Apr 8, 2014 我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。 |
| 23 run2 Apr 8, 2014 www.booking.com IS VULNERABLE. -.- 果然这家真是不注重安全。 |
 | 25 txlty Apr 8, 2014 |
 | 26 niseter Apr 9, 2014 @mumchristmas 你这是个空文件? |
| 28 mumchristmas Apr 9, 2014 @niseter 已经被删除了:( |
| 29 niseter Apr 9, 2014 @mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail |
 | 31 bigredapple Apr 9, 2014 yum -y update 已经修复 |
 | 33 Ever Apr 9, 2014 别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。 |
 | 35 HowardMei Apr 9, 2014 Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了 科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~ |
 | 36 glasslion Apr 9, 2014 Happy 0-day to you Happy 0-day to you Happy 0-day dear netizens Happy 0-day to you! |
 | 37 zdf Apr 9, 2014 via iPhone 我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。 |
 | 39 akann Apr 9, 2014 @zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7 SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 这个d1_both.c的修改是关键啊。 |
| 40 aliuwr May 9, 2014 @Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗? @txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。 |
Select Language