CVE-2014-0160漏洞背景
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构
造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K
的数据。
在目前已有的资料中,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL
搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
OpenSSL受影响版本的分布
根据已经公开的信息,该漏洞影响分布情况如下。
1、OpenSSL 1.0.1f (受影响)
2、OpenSSL 1.0.2-beta (受影响)
3、OpenSSL 1.0.1g (不受影响)
4、OpenSSL 1.0.0 branch (不受影响)
5、OpenSSL 0.9.8 branch (不受影响)
处置建议如下
3.1 针对网络管理员,可以做的事情包括
鉴于本漏洞的严重程度,如果确定本漏洞存在,对一般性的网络服务者,暂停服务进行处置是一种较好的应对策略。
如果确定本漏洞存在,又必须保证服务不能停止,可以在漏洞修补过程中,暂时停止https服务,改用http服务,但这会带来相关认证信息明文传输的风险,具体利害需要做出谨慎的判断权衡。
具体修补方式为:
OpenSSL版本升级到最新的1.0.1g
重新生成你的私钥
请求和替换SSL的证书
也可以使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块,最新版本升级地址为:https://www.openssl.org/source/. (OpenSSL官方)
3.2 针对普通网络用户,我们郑重提出的建议包括
鉴于本漏洞的严重程度,在不能确定你所网站和服务修补了本漏洞的情况下,在未来2~3天内(2014年4月9日日起)不登陆,不操作是一种较好的应对策略(这些操作包括网购、网银支付等)。
如果你必须进行操作,可以关注这些网站和服务的修改情况。
一些手机客户端的登陆,是对SSL的封装,因此手机登录也不安全。
其他安全企业团队会公布目前仍有问题的站点、或没有问题的站点情况,请予以关注。
下面是centos系统或redhat系统的修复方法:
总之我都是把版本升级到官网最新的版本:openssl-1.0.1g(2014.4.7更新的)
先进行支撑包的安装:
yum install -y zlib 
openssl升级步骤: 
0. 首先通过 #openssl version –a 查看系统中存在的OpenSSL版本号 
下载最新版本的openssl源码包 
# wget ftp://ftp.openssl.org/source/openssl-1.0.1g.tar.gz
2. 安装openssl 
1. tar xzvf openssl-1.0.1g.tar.gz  
2. cd openssl-1.0.1g  
3. ./config shared zlib 
4. make  
5. make install  
6. mv /usr/bin/openssl /usr/bin/openssl.OFF 
7. mv /usr/include/openssl /usr/include/openssl.OFF 
8. ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl 
9. ln -s /usr/local/ssl/include/openssl /usr/include/openssl 
配置库文件搜索路径
10. echo “/usr/local/ssl/lib” >> /etc/ld.so.conf 
11. ldconfig -v  
3 查看openssl版本号,验证安装正确性 
1、#openssl version -a 
penSSL 1.0.1g 7 Apr 2014
built on: Fri Apr 11 13:49:37 CST 2014
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/local/ssl"
下面是我自己写的一个小脚本:
#cat openssl-update.sh 
yum install -y zlib 
echo "*****************************************************************************************************************************"
openssl version -a
cd /root
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
tar xzvf openssl-1.0.1g.tar.gz  
cd openssl-1.0.1g
./config shared zlib 
make  
make install  
mv /usr/bin/openssl /usr/bin/openssl.OFF 
mv /usr/include/openssl /usr/include/openssl.OFF 
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl 
ln -s /usr/local/ssl/include/openssl /usr/include/openssl 
echo “/usr/local/ssl/lib” >> /etc/ld.so.conf 
ldconfig -v
echo "*****************************************************************************************************************************"
openssl version -a
#chmod +x openssl-update.sh
#./openssl-update.sh >>openssl-update.log
这是我自己的愚见,有问题可以探讨

openssl漏洞补丁修复相关推荐

  1. CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更

    一.前言 2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对K ...

  2. 记openssl漏洞升级修复的问题

    linux新手 自我学习记录 目录 一.环境配置 二.安装开始 1.下载安装包 2.编译安装 三.编辑环境变量,配置链接库 闲来无事搞了个腾讯云,开机后不知道哪来干点什么,当晚收到信息,检测到Open ...

  3. openssl漏洞检查修复

    漏洞发现 [root@localhost Git]# nmap -sV --script ssl-enum-ciphers -p 8888 x.x.x.x Starting Nmap 6.40 ( h ...

  4. linux更新ssl脚本,linux升级OpenSSL,Centos的OpenSSL漏洞补丁

    升级openssl环境至openssl-1.0.2h 1.查看源版本 openssl version -a 2.下载openssl-1.0.2h.tar.gz wget https://www.ope ...

  5. linux查看漏洞修复情况,linux 漏洞扫描补丁修复

    亲测5.9 32位-6.5 64位可用,无需删除旧版本ssh 编译安装. 1.建立备用连接.telnet yum install telnet telnet-server vi /etc/xinetd ...

  6. 安全警报:Oracle 2018一月号安全补丁修复由来已久安全漏洞

    在美西时间2018一月16日,北京时间今天凌晨,Oracle公司发布了 2018 年第一个安全补丁,这被称为 - Oracle Critical Patch Update,缩写为 CPU. Oracl ...

  7. 360修复导致服务器,桌面安装360软件修复漏洞补丁导致桌面TC端无法登陆,FC端VNC登陆一键修复显示HDC不可达...

    问题描述 桌面虚机安装360软件以后打补丁,触发桌面虚机重启以后TC端无法连接到桌面,FC登陆VNC相应的虚拟机通过桌面云修复工具一键修复到33%,提示HDC不可达. 告警信息 处理过程 在360服务 ...

  8. QCon速递:Xen漏洞热补丁修复、异地双活、ODPS新功能与金融互联网

    QCon速递:Xen漏洞热补丁修复.异地双活.ODPS新功能与金融互联网

  9. 微软破常规发LNK漏洞补丁 金山卫士完美修复

    微软破常规发LNK漏洞补丁 金山卫士完美修复 近日,微软LNK漏洞(快捷方式漏洞)大规模爆发,作为年度影响范围最大的一次漏洞***事件,微软LNK漏洞几乎波及所有主流Windows操作系统,影响范围预 ...

  10. 360安全卫士系统漏洞修复,漏洞补丁下载成功但安装失败的解决办法

    具体原因,需要到系统盘/windows 目录下找到以kb*******.log 日志,察看其中的文字描述,与以下进行对应,给出解决方案. 1. 在驱动器 c: 上没有足够的空间来安装 kb950749 ...

最新文章

  1. [UE4]判断2个向量是否相等
  2. Java-异常处理练习
  3. flask html css文件更改后(谷歌)浏览器不及时更新样式文件怎么办?(ctrl+shift+delete清除缓存的图片和文件)
  4. keil obj 文件 结构_keil下的STM32程序开发部署(一)
  5. log4j 2.x 架构(源码)
  6. java .this的用法_JAVA中this用法小结
  7. L255 Learning to say no brings a thrill of freedom
  8. evolving checkers players [Fogel and Chellapilla, 2002]
  9. 直播防盗链,域名设置
  10. Android 开机底层优化
  11. uat测试和sit测试_测试三角形,金字塔和圆形以及UAT
  12. 玩转5G之--网络布线2 详细解说
  13. 雨课堂卷子提前看_雨课堂提前看试卷
  14. 2019 live tex 发行版_TexLive 2019 安装指南
  15. layabox位移和旋转动画
  16. SM4算法大文件加密与字符串加密
  17. SQL Service数据库上机
  18. 2021年低压电工考试题及低压电工报名考试
  19. 立创EDA怎么批量处理元器件
  20. 数组every方法使用

热门文章

  1. 隐藏win11任务栏时间,开启专注模式
  2. 数据库系统概论习题 关系数据库 关系数据库(关系代数表达式)
  3. CSS之内联、内部、外部样式
  4. chart.js 饼图显示百分比_MATLAB作图实例:18:为饼图添加文本标签和百分比
  5. 自然语言处理——基于预训练模型的方法——第1章 绪论
  6. newifi3刷机 php,新路由3(newifi d2)刷老毛子固件教程-路由器交流
  7. 事实表和维度表的定义
  8. 计算机网络阶段,计算机网络发展的四个阶段
  9. 全局钩子原理以及操作流程
  10. linux 网络设置 DHCP