在OpenSSL中有一个Heartbleed的bug。 我使用OpenSSL 1.0.1e启用了ISC BIND 9.9.5。 我应该用OpenSSL 1.0.1g重新构buildBIND吗?
不,在我看来,BIND不易受到心血结晶的攻击。 利用此漏洞需要询问TLS检测信号function,并要求存在TLS连接或可升级到TLS的连接。 BIND不提供任何这样的function,我知道。 仅仅与脆弱的图书馆链接本身并不会使服务容易受到攻击( 参见与图书馆链接的OpenSSH,但显然将其用于密钥生成function,而不是协议的networking使能部分)。
我认为正确理解漏洞和影响对于优先安装修补程序非常重要。 各种各样的中断包括不稳定和风险,如果他们可以安全地等到下个星期六晚上的补丁窗口,你不想在中午做事。
升级你的OpenSSL肯定是一个好主意,并且重新链接任何依靠它构build的工具,但是我认为,除非你这么做,否则你不需要感到脆弱。 老实说,如果可能的话,更好地利用你的时间将是从手工软件迁移。
绑定不能容易受到这种攻击,因为它使用OpenSSL而不是TLS。