Apa yang harus saya lakukan tentang bug Heartbleed untuk situs yang saya jalankan?

9

Bug Heartbleed yang baru-baru ini diumumkan di OpenSSL memengaruhi banyak situs (70% dari internet).

Ada sebuah situs web:

http://www.heartbleed.com

Ada tes berbasis web:

http://filippo.io/Heartbleed/

Apa yang harus saya lakukan untuk melindungi situs yang saya jalankan?

Matt Cruikshank
sumber
5
... serta StackExchange untuk profesional keamanan. Lihat security.stackexchange.com/questions/55076 dan security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Setiap situs terkait komputer SE besar sekarang memiliki pertanyaan ini ... Mungkin akan segera ditanyakan bahkan pada cooking.stackexchange.com : D
VL-80
Saya telah menambahkan versi pengguna akhir dari pertanyaan ini di superuser.com/questions/739260/… (tetapi seseorang telah menurunkannya, tanpa penjelasan).
danorton
1
@Nikolay, sekarang saya sangat tergoda untuk menanyakannya pada cooking.se ...
Joe

Jawaban:

7

Anda harus:

  • Perbarui sistem Anda ke versi OpenSSL terbaru
  • Hasilkan kunci dan sertifikat baru untuk layanan yang mengandalkan OpenSSL dan mulai kembali
  • Cabut sertifikat sebelumnya
  • Validasikan semua sesi yang ditetapkan
Eksekutif
sumber
Saya kira Anda tidak mengetahui beberapa instruksi yang jelas dan bagus untuk tiga langkah terakhir, bukan?
Paul D. Waite
Mencabut dan membuat ulang sertifikat produksi biasanya melibatkan proses apa pun yang sudah ada di CA Anda. Karena itu bervariasi dari satu CA ke yang berikutnya ...
Roger Lipscombe
Cara memperbarui sistem Anda tergantung pada manajer paket Anda. Sesi validasi tergantung pada aplikasi. Adapun sertifikat, Anda harus kontak CA Anda, tetapi langkah pertama harus untuk membuat kunci baru dan CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
eksekutif
4

Dicuri dari komentar reddit.

  1. Perbarui sistem Anda:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Nyalakan ulang server

  3. openssl version -a untuk memastikan Anda memiliki versi terbaru !!

Matt Cruikshank
sumber
OP memberikan!
Saya John Galt
1
@ IamJohnGalt Ini tidak seperti brankas yang terkunci atau sesuatu. ;)
Ƭᴇcʜιᴇ007
14
Ini tidak cukup. Kunci SSL perlu diganti, tanpa melakukan itu patch akan tetap membuat Anda rentan terhadap pencurian kunci sebelumnya.
Kyeotic
Ini mengasumsikan sistem Anda digunakan apt-getsebagai manajer paket Anda. Pertanyaannya tidak menyarankan bahwa ini adalah masalahnya.
Michael
0

Lebih khusus untuk Ubuntu atau Debian secara umum

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

tebing
sumber