Назад | Перейти на главную страницу

У меня OpenSSL 1.0.1g, но мой сайт все еще уязвим?

Я обновил свой сервер Ubuntu, чтобы использовать OpenSSL 1.0.1g, и когда я запускаю sudo openssl version -a, я получаю OpenSSL 1.0.1g 7 апреля 2014 года, построенный на: сб, 19 апреля, 14:15:45 UTC 2014 платформа: linux-elf

Однако такие сайты, как https://filippo.io/Heartbleed/ все еще возвращают мой сайт как уязвимый для Heartbleed. Я перезапустил сервер, не знаю, что мне еще делать.

Есть ли способ найти какие-либо службы, которые в настоящее время работают и уязвимы для проблемы безопасности Hearbleed?

У кого-нибудь еще есть эта проблема?

Я могу придумать несколько проблем, которые могли бы вызвать это:

  1. Возможно, это какая-то форма проблемы с кешированием, не уверен, включено ли кеширование на ваших сайтах, но я бы поискал там.
  2. Apache построен на более старой версии OpenSSL. В этом случае вам необходимо перекомпилировать его или, в зависимости от ОС, использовать yum / apt-get, чтобы удалить и переустановить.
  3. Вы не забыли перезапустить Apache после внесения изменений в OpenSSL?

Если вы предоставите более подробную информацию, я смогу вам помочь.

Heartbleed может быть использован, если у вас запущена служба, которая активно использует уязвимую версию openssl.

Это может быть сервис, предоставляющий https. После исправления openssl-stack (как вы пытались это сделать) и после проверки службы (как вы это сделали) последний шаг, после того как вы больше не уязвимы, - это рассматривать все задействованные ключи как скомпрометированные.

То есть: пометьте их как скомпрометированные и получите новые.