资讯专栏INFORMATION COLUMN

heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)

PingCAP / 2802人阅读

摘要:可以探测你的服务器是否存在漏洞心脏出血漏洞。如何使用检测心脏出血漏洞安装可以在下载编译好的二进制文件的压缩包。如何修复将受影响的服务器下线,避免它继续泄露敏感信息。撤销现有的会话。要求用户修改密码。

heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2014-0160 漏洞 (心脏出血漏洞)。

什么是心脏出血漏洞?

CVE-2014-0160,心脏出血漏洞,是一个非常严重的 OpenSSL 漏洞。这个漏洞使得攻击者可以从存在漏洞的服务器上读取64KB大小的内存信息。这些信息中可能包含非常敏感的信息,包括用户请求、密码甚至证书的私钥。

据称,已经有攻击者在某宝上尝试使用漏洞读取数据,在读取200次后,获取了40多个用户名和7个密码。

如何使用 heartbleeder 检测心脏出血漏洞? 安装

可以在gobuild.io下载编译好的二进制文件的压缩包。包括Windows、Linux、MacOSX。

由于服务器操作系统最常用的是Linux,因此这里提供一下下载Linux二进制压缩包的命令:

Linux(amd64)

wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/amd64 -O output.zip

Linux(i386)

wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/386 -O output.zip

下载后解压缩即可。

也可以自行编译安装(Go版本需在1.2以上), 使用如下命令:

go get github.com/titanous/heartbleeder

二进制文件会放置在 $GOPATH/bin/heartbleeder

使用
$ heartbleeder example.com
INSECURE - example.com:443 has the heartbeat extension enabled and is vulnerable

Postgres 默认在 5432 端口使用 OpenSSL,如果你使用Postgres服务器,则需使用如下命令:

$ heartbleeder -pg example.com
SECURE - example:5432 does not have the heartbeat extension enabled
如何手工检测心脏出血漏洞

如果不方便安装heartbleeder,或者不放心自动检测的结果,也可以手动检测。

首先判断服务器上的Openssl版本是否是有漏洞的版本。目前有漏洞的版本有: 1.0.1-1.0.1f(包含1.0.1f)以及 1.0.2-beta。你可以使用如下的命令查看服务器上的当前版本:

openssl version

接着你需要判断是否开启了心跳扩展:

openssl s_client -connect 你的网站:443 -tlsextdebug 2>&1| grep "TLS server extension "heartbeat" (id=15), len=1"

如果以上两个条件你都满足的话,很遗憾,你的服务器受此漏洞影响,需要尽快修复。

如何修复

将受影响的服务器下线,避免它继续泄露敏感信息。

停止旧版的 openssl 服务,升级 openssl 到新版本,并重新启动。

生成新密钥。(因为攻击者可能通过漏洞获取私钥。)将新密钥提交给你的CA,获得新的认证之后在服务器上安装新密钥。

服务器上线。

撤销旧认证。

撤销现有的会话cookies。

要求用户修改密码。


编撰 SegmentFault

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11127.html

相关文章

  • mod_sflow 轻量、实时的流量分析 Apache 模块

    摘要:是一个基于的轻量持续实时的模块。通过流量分析,可以实现更有效地监控网络的状况。目前已有大量设备支持协议。通过分布在网络不同位置的将数据传送给中央采集器,由中央采集器进行分析。使用采样分析技术。这是问题的临时解决方案。 mod_sflow是一个基于 Apache 的轻量、持续、实时的 sFlow 模块。 showImg(http://segmentfault.com/img/bVb6R...

    liaoyg8023 评论0 收藏0
  • 给你的网站穿上外衣 - HTTPS 免费部署指南

    摘要:用于安全的数据传输。表明它使用了,但存在不同于的默认端口及一个加密身份验证层在与之间。申请证书网上已经有不少机构提供个人免费证书,有效期几个月到几年不等,博主使用的是申请成功后有效期年,到期后可免费续租。 前言 随着国内各大网站纷纷开启全站 HTTPS 时代,HTTPS 已不再是支付等敏感操作过程的专属,开启 HTTPS 对于个人网站或者小型网站也不再遥不可及。 今天博主就以自己的网站...

    wangjuntytl 评论0 收藏0
  • 十年未变!安全,谁之责?(下)

    摘要:在十年未变安全,谁之责上中,我们介绍了安全领域的现状和新的解决方案,那么究竟是什么它在应用安全多变的今天又能带给我们什么样效果我们将通过何种方式才能打赢这场与黑客之间的攻坚战呢应用安全行业快速发展的数十年间,出现了许多巨变。 在 十年未变!安全,谁之责?(上)中,我们介绍了安全领域的现状和RASP新的解决方案,那么 RASP 究竟是什么?它在应用安全多变 的今天又能带给我们什么样效果?...

    Chaz 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<