我在Dev的一个环境中inheritance了一台服务器,并立即发现在发现心跳时没有修补。
现在,我已经对它进行了升级 – 包括所有SSL库,并且我已经重新生成了自签名证书,但即使在完全重启服务器之后,它仍然显示出对各种Heartbleed跳棋的脆弱性。
这是事情的状态。 Ubuntu /内核版本:
root@server:~# uname -a Linux server.domain.com 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux root@server:~# OpenSSL lib版本:
root@server:~# dpkg -l|grep ssl ii libio-socket-ssl-perl 1.53-1 Perl module implementing object oriented interface to SSL sockets ii libnet-ssleay-perl 1.42-1build1 Perl module for Secure Sockets Layer (SSL) ii libssl1.0.0 1.0.1-4ubuntu5.13 SSL shared libraries ii openssl 1.0.1-4ubuntu5.13 Secure Socket Layer (SSL) binary and related cryptographic tools ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library root@server:~#
OpenSSL构build:
root@server:~# openssl version -b built on: Fri May 2 20:24:44 UTC 2014 root@server:~#
/etc/issue包含来自服务器托pipe的cloud-sigma的一些内容。
任何人有任何想法如何进一步?
谢谢
您应该针对实际的Web服务器二进制文件运行ldd脚本。 你的networking服务器,特别是如果它是一个专有的,可能会静态链接,或从一个奇怪的目录加载你的库。 一个如何在CentOS上检查Apache的例子:
# ldd /usr/sbin/httpd [snip] libssl.so.6 => /lib64/libssl.so.6 (0x00002b94ab034000) # yum whatprovides libssl.so.6 Loaded plugins: dellsysid, security openssl-0.9.8b-10.el5.i686 : The OpenSSL toolkit Repo : base Matched from: Other : libssl.so.6 [snip]