タグ付けされた質問 「heartbleed」

これは、Heartbleedのセキュリティ問題の理解と修正に関する正規の質問です。 CVE-2014-0160別名「Heartbleed」とは何ですか？原因、OpenSSLのOSおよびバージョンの脆弱性、症状は何ですか？悪用の成功を検出する方法はありますか？ システムに影響があるかどうかを確認するにはどうすればよいですか？この脆弱性はどのように軽減できますか？私の鍵または他の個人データが危険にさらされていることを心配する必要がありますか？他にどのような副作用を心配する必要がありますか？

204 security  openssl  heartbleed 

私はGNU / Linuxおよび他のシステムでOpenSSLのバージョンをチェックする信頼性の高いポータブルな方法を探していたので、ユーザーはHeartbleedバグのためにSSLをアップグレードする必要があるかどうかを簡単に見つけることができます。 簡単だと思いましたが、すぐに最新のOpenSSL 1.0.1gを使用してUbuntu 12.04 LTSで問題に遭遇しました。 opensslバージョン-a 私はフルバージョンを見ることを期待していましたが、代わりにこれを手に入れました： OpenSSL 1.0.1 2012年3月14日 構築日：火6月4日07:26:06 UTC 2013 プラットフォーム：[...] 不愉快なことに、バージョンレターが表示されません。そこにfもgもありません。「1.0.1」だけです。リストされた日付は、（非）脆弱性バージョンの検出にも役立ちません。 1.0.1（af）と1.0.1gの違いは重要です。 質問： バージョンを確認するための信頼できる方法は何ですか？ そもそもバージョンレターが表示されないのはなぜですか？Ubuntu 12.04 LTS以外ではテストできませんでした。 他の人もこの動作を報告しています。いくつかの例： https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 いくつかの（ディストリビューション固有の）提案の展開： UbuntuおよびDebian：apt-cache policy opensslおよびapt-cache policy libssl1.0.0。バージョン番号をパッケージと比較してください：http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20：yum info openssl（Twitterの@znmebに感謝）およびyum info openssl-libs 古いバージョンのOpenSSLがまだ存在するかどうかの確認： 完全に信頼できるわけではありませんが、試してみてくださいlsof -n | grep ssl | grep DEL。Heartbleed：OpenSSLのバージョンを確実かつ移植可能にチェックする方法をご覧ください。なぜこれがうまくいかないかについて。 UbuntuおよびDebianでOpenSSLパッケージを更新するだけでは十分ではないことがわかりました。また、libssl1.0.0パッケージを更新し、-then-がopenssl …

88 linux  ubuntu  security  openssl  heartbleed 

OpenSSLの「heartbleed」脆弱性（CVE-2014-0160）は、HTTPSを提供するWebサーバーに影響します。他のサービスもOpenSSLを使用します。これらのサービスは、ハートブリードのようなデータ漏洩に対しても脆弱ですか？ 私は特に考えています sshd 安全なSMTP、IMAPなど-dovecot、exim、postfix VPNサーバー-OpenVPNおよびフレンド 少なくとも私のシステムでは、これらはすべてOpenSSLライブラリにリンクされています。

65 security  openssl  heartbleed 

Ubuntu 12.04サーバーがあります。OpenSSLハートブリードの脆弱性を修正するために、パッケージを更新しました。しかし、Webサーバー、さらにはサーバー全体を再起動したとしても、依然として脆弱です。 私が使用した脆弱性を確認するには： http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkgが提供するもの： dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools （launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12）

28 ubuntu  nginx  security  openssl  heartbleed 

ハートブリードの脆弱性の最近の発見により、認証局は証明書を再発行するようになりました。 heartbleed脆弱性が発見される前に生成された2つの証明書があります。SSL発行者から証明書を再生成するように指示された後、サーバー/ドメインの両方を新しい証明書で更新しました。 私の理解が正しい場合、古い証明書はCAによって失効され、CRL（証明書失効リスト）またはOCSPデータベース（オンライン証明書ステータスプロトコル）に到達する必要があります。そうでない場合、誰かが「侵害された証明書から取得した情報から証明書を再生成することにより、中間者攻撃。 古い証明書がCRLとOCSPに到達したかどうかを確認する方法はありますか。それらが含まれていない場合、それらを含める方法はありますか？ 更新：状況は、既に証明書を置き換えていることです。古い証明書の.crtファイルのみであるため、URLを使用して確認することは実際には不可能です。

23 linux  ssl  heartbleed  crl  ocsp 

Heartbleed OpenSSLの脆弱性（http://heartbleed.com/）は、OpenSSL 1.0.1から1.0.1f（包括的）に影響します。 Amazon Elastic Load Balancerを使用してSSL接続を終了します。ELBは脆弱ですか？

19 amazon-web-services  openssl  amazon-elb  heartbleed 

Heartbleedの脆弱性のあるOpenSSLバージョンをコンパイルして、チームのWebセキュリティチャレンジ用にセットアップしているサーバーにインストールしたい（明らかな理由により、Ubuntuのリポジトリからのインストールは利用できないため）。 ソースOpenSSL 1.0.1fをダウンロードして、提供された指示に従って実行し./config（次にmakeとmake installを実行）、GitHubから公開されているHeartbleed POC を PC から実行しようとしましたが、スクリプトはハートビート応答が受信されなかったことを通知し、サーバーはおそらく脆弱ではありません。 実行openssl versionすると、次の出力が生成されます：OpenSSL 1.0.1f 6 Jan 2014。もちろんSSL証明書をインストールし、SSLアクセスはサーバーで機能します。 OpenSSLは、Apache 2.4.7で動作するようにインストールされています。 誰か助けてもらえますか？

9 openssl  heartbleed 

パッチでサーバーをすでに更新しました。 OpenSSHに関して秘密鍵を再生成する必要がありますか？SSL証明書を再生成する必要があることはわかっています。 編集：私はこれを十分に正確に述べていませんでした。脆弱性がopensslにあることは知っていますが、これがopensshにどのように影響するか、そしてopensshホストキーを再生成する必要があるかどうかを尋ねていました。

9 ssh  heartbleed 

debian wheezyサーバーを最新バージョンのopensslパッケージに更新しました。 私はサーバーでSSLをサポートしていますが、snakeoil証明書でのみサポートしています。snakeoil certの更新についても実際にセキュリティ上の懸念があるのか​​、それともsnakeoil certなのでそれをそのままにしていいのかと思っていました。 この質問は、sslに関する知識が不足しているために発生する可能性があります...しかし、snakeoil certを変更する必要があるかどうかと、そうである場合は、理由を説明してください。

8 ssl-certificate  openssl  heartbleed