実行しているサイトのHeartbleedバグはどうすればよいですか?


9

最近発表されたOpenSSLのHeartbleedバグは、多くのサイト(インターネットの70%)に影響を及ぼします。

ウェブサイトがあります:

http://www.heartbleed.com

ウェブベースのテストがあります:

http://filippo.io/Heartbleed/

実行しているサイトを保護するにはどうすればよいですか?



5
…およびセキュリティ専門家向けのStackExchange。security.stackexchange.com/questions/55076およびsecurity.stackexchange.com/questions/tagged/heartbleedを参照してください。
JdeBP 2014

4
すべての主要なSEコンピューター関連サイトにこの質問があります...おそらくすぐにcooking.stackexchange.comでも質問されるでしょう:D
VL-80

この質問のエンドユーザーバージョンをsuperuser.com/questions/739260/…に追加しました(ただし、誰かが説明なしですでに反対投票しています)。
danorton 2014

1
@ニコライ、今私はcooking.seでそれを尋ねるように誘惑されています...
Joe

回答:


7

あなたがすべき:

  • システムを最新のOpenSSLバージョンに更新する
  • OpenSSLに依存するサービスの新しいキーと証明書を生成して再起動する
  • 以前の証明書を取り消す
  • 確立されたすべてのセッションを無効にする

私はあなたが最後の3つのステップについてのいくつかの素晴らしい明確な指示を知っているとは思いませんか?
ポールD.ウェイト2014

プロダクション証明書の失効と再生成には、通常、CAが実行しているプロセスが含まれます。それはCAごとに異なるので...
Roger Lipscombe 2014

システムを更新する方法は、パッケージマネージャーによって異なります。セッションの無効化はアプリケーションに依存します。証明書については、CAに連絡する必要がありますが、最初のステップは、新しいキーとCSRを生成することopenssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csrです。
エグゼクティヴ

4

redditコメントから盗まれた。

  1. システムを更新します。

    sudo apt-get update
    sudo apt-get upgrade
    
  2. サーバーを再起動します

  3. openssl version -a 最新バージョンであることを確認してください!!


OPが配信します!
私はJohn Galtです。2014

1
@IamJohnGaltロックされた金庫のようなものではありません。;)
Ƭᴇcʜιᴇ00714

14
これで不十分です。SSL鍵を置き換える必要がありますが、パッチを適用しても、過去の鍵の盗難に対して脆弱なままになります。
キョーティック2014

これは、システムがapt-getパッケージマネージャーとして使用することを前提としています。質問は、これが必ずしも事実であることを示唆していません。
マイケル

0

より具体的には、一般的にUbuntuまたはDebian向け

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

参照 http://www.ubuntu.com/usn/usn-2165-1/

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.