近日,互聯網爆發了被稱爲「心臟出血」式的嚴重安全事件。SSL協議是爲網絡通訊提供安全及數據完整性的一種安全協議,也是互聯網上最大的「門鎖」。而這次曝出的Open SSL漏洞讓這個「門鎖」形同虛設,可讓***者得到服務器內存中的數據內容,甚至致使網絡帳戶與密碼、網銀資金、電子郵件等重要信息的泄漏! 騰訊相關報道: http://tech.qq.com/a/20140410/015389.htmios
「心臟出血」漏洞嚴重危害網站安全nginx
yum源服務已在第一時間更新網站openSSL版本並經過專業檢測,但仍建議客戶對賬號密碼按期修改,避免風險。ubuntu
Centos 6 系統版本,給出解決方案:centos
CentOS,默認安裝的OpenSSL不在OpenSSL官方公告有安全漏洞的範圍裏, 默認安裝OpenSSL -1.0.0-20.el6_2.5.x86_64(ios最小安裝時)
可是若是用戶手工升級到1.0.1版本, 有可能升級爲有問題的版本。
目前雲主機軟件源已經同步了修復版本, 可執行yum update openssl更新到最新版。後續將詳解。安全
哪些版本OpenSSL有此嚴重漏洞?服務器
OpenSSL官方發佈的公告, 出現問題的版本是:
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.
上文是官方原文。網絡
怎麼確認OpenSSL是否存在漏洞?
命令:rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extensionide
當你看到以上信息,證實你已經修復漏洞。在系統上可查看相關信息,表示已經修復了漏洞。測試
CentOS修復「OpenSSL Heartbleed漏洞」方法,詳細解說無這次漏洞升級包:網站
下面請仔細看看yum源的openssl更新日期,已是最新的yum RPM發佈版本,適用於Centos 6 系列版本。
openssl-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.5M
openssl-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.5M
openssl-devel-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.2M
openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.2M
yum源下載地址:
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.i686.rpm
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.x86_64.rpm
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.i686.rpm
http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
能夠先經過wget下載,在無網絡環境,能夠經過先下載,後安裝的方式。
升級方法:命令 yum install openssl
過程會提示是否確認,輸入「Y」便可繼續升級。
升級後提示:
Setting up Install Process
Package openssl-1.0.1e-16.el6_5.7.x86_64 already installed and latest version
Nothing to do
證實已是源上的最新版本(08-Apr-2014)。
Ubuntu 系統openssl版本漏洞:
經過檢查確認全部雲主機中只有ubuntu12.04鏡像中的openSSL版本有此漏洞,雲主機會盡快更新ubuntu12.04鏡像,修復此漏洞。已購買並使用此鏡像的用戶,經過如下方法對openSSL版本升級。操做步驟以下:
A)登陸主機進行安裝包更新: apt-get update
B)更新openssl: apt-get install openssl libssl1.0.0 libssl-dev
C)檢查主機系統版本:lsb_release -a 正常版本:Ubuntu 12.04.1 LTS
D)檢查openssl版本:dpkg -l | grep ssl 對於ubuntu12.04須要更新到1.0.1-4ubuntu5.12
Ubuntu 12.4
ubuntu和centos相似, 默認安裝的版本是安全的, 若是有不慎升級到漏洞版本,須要再次升級.
默認版本是libssl1.0.0, 若是升級能夠執行
用戶可執行
apt-get update
apt-get install libssl1.0.0 或者 apt-get upgrade(這將升級全部已安裝的包,謹慎操做)
驗證本機安裝的版本?
root@jimmyli-ubuntu:/etc/apt# dpkg -l|grep libssl
ii libssl1.0.0 1.0.1-4ubuntu5.12 SSL shared libraries
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12
參考ubuntu官方關於此漏洞的說明(http://www.ubuntu.com/usn/usn-2165-1/)
SuSE系列系統:使用OpenSSL 0.9.8a不存在安全問題.
用戶自行編譯的版本:例如以前是下載有漏洞的版本tar,gz源碼包,編譯安裝的狀況下。
這種狀況下, 用戶須要根據OpenSSL官方建議, 從新編譯.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
解決方案:從新下載無漏洞的tar,gz源碼包,從新編譯安裝。
羅列各版本的快速方法:
使用ISO安裝的Centos默認是安全的,若是用戶不慎安裝帶漏洞的OpenSSL版本,須要自行升級,雲主機的下載源已經提供了最新版本的安裝包。
各系統升級方法方法以下:
1)SuSE 該機器上的OpenSSL不須要升級。
2)CentOS原生版,6.2/6.3; 默認是安全的,若是安裝有帶漏洞版本,須要再升級一次到最新版本
yum install openssl
Centos系統確認OpenSSL是否有漏洞的確認方法:
# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS
以上訊息表示已經修復漏洞
3)Ubuntu12.4 默認是安全的, 若是安裝有帶漏洞的版本, ,須要再升級一次到最新版本
apt-get update
apt-get install libssl1.0.0
ubuntu系統確認OpenSSL是否存在漏洞的方法:
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12
Centos系統解決方法二:
yum search openssl
#返回
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M
Updating for dependencies:
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M
看起來版本仍是比較新的,遂直接
yum install openssl
#而後重啓nginx
/etc/init.d/nginx restart
#測試漏洞已修復
OpenSSL終極升級方法:
原本想源碼編譯安裝的,由於以上過程便已修復,就沒編譯,若是yum方法不行,嘗試如下安裝:
官方下載:
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config
make && make install
編譯安裝。
/etc/init.d/nginx restart #重啓nginx
完成漏洞修補。
[End]