Apache serve su HTTP vulnerabile a Heartbleed? [duplicare]

2

Eseguo un server la cui unica porta pubblica aperta è 80, che serve dati non crittografati su HTTP, non HTTPS. È interessato da Heartbleed?

    
posta jl6 09.04.2014 - 08:49
fonte

2 risposte

3

Teun Vink ha ragione, non è vulnerabile se si è certi che https è disattivato, ad esempio spegnendo mod_ssl.

Anche se non utilizzi attivamente https, potrebbe comunque essere abilitato. Molti server hanno abilitato https per impostazione predefinita con alcuni certificati generati automaticamente. Questo non sarà valido e genererà un errore o un avvertimento nei browser, ma sarà comunque sfruttabile.

Se puoi modificare la configurazione di apache, disabilita mod_ssl con a2dismod ssl . Su Windows non sono sicuro che funzioni; per esempio in un'installazione di xampp dovresti modificare il file httpd.conf nella cartella xampp/apache/conf . Metti un cancelletto (#) davanti alla riga che dice
LoadModule <something_with_ssl> così diventa #LoadModule <something_with_ssl>

Se disabilitare mod_ssl causa problemi in altre parti della configurazione, puoi anche semplicemente assicurarti che l'unica opzione Listen sia per la porta 80. Dovresti cercare in tutti i file di configurazione per quelle opzioni Listen , ad esempio con grep o su Windows è possibile utilizzare la funzione di ricerca nei file di Notepad ++.

In ogni caso, è consigliabile aggiornare OpenSSL se possibile. Altre cose potrebbero usarlo, o qualcuno potrebbe attivare https in futuro senza rendersi conto che è vulnerabile.

TL; DR: Aggiorna OpenSSL se possibile, anche se non sei vulnerabile. Se non è possibile, assicurati assolutamente di non utilizzare https.

    
risposta data 09.04.2014 - 13:18
fonte
1

No, non lo è. Heartbleed è una vulnerabilità OpenSSL, non viene utilizzato OpenSSL per HTTP.

    
risposta data 09.04.2014 - 08:55
fonte

Leggi altre domande sui tag