Come posso confermare che il mio server è protetto da HeartBleed? [duplicare]

0

Ho appena ricevuto un aggiornamento del software openssl-1.0.1e-37 . Credo che sia una patch per HeartBleed. Dato che è stato ampiamente riportato che le versioni fino a 1.0.1f sono vulnerabili, come posso verificare questa patch sul mio server senza ricorrere a un correttore esterno?

    
posta Question Overflow 11.04.2014 - 04:30
fonte

2 risposte

3

Sono riuscito a scaricare questo strumento e a metterlo su uno dei miei sistemi in modo da poter testare i miei host senza un controllore esterno:

heartbleeder

I risultati erano coerenti con quello che mi aspettavo (sporco da pulire dopo l'applicazione delle patch e una volta non ripulito dopo l'applicazione delle patch, ulteriori indagini hanno dimostrato che lo strumento era corretto e non avevo applicato patch ogni copia della libreria openssl).

E a proposito, quello che stai descrivendo è incredibilmente comune. Molte distribuzioni (in particolare RHEL) patch di backport senza modificare il vecchio rev. In questo caso, Red Hat si impegna per questo: openssl-1.0.1e-16.el6_5.4 è il vecchio RPM guasto e openssl-1.0.1e-16.el6_5.7 è il nuovo RPM fisso. Davvero, Red Hat? Non avresti potuto spingere -16 fino a -17?

Aggiornamento:

In risposta al commento di @ question-overflow, ecco un'eccellente dissezione del problema includendo la procedura dettagliata del codice e i link alla fonte completa.

    
risposta data 11.04.2014 - 04:46
fonte
0

Qualsys SSL Labs sta attualmente testando il garbage return per rilevare HeartBleed e molte altre vulnerabilità rilevate sui server web. Rintraccia inoltre alcune configurazioni che possono causare seri problemi con la sicurezza SSL / TLS.

link

    
risposta data 11.04.2014 - 05:34
fonte

Leggi altre domande sui tag