我们还有一个服务器的心脏问题。 我们用yum进行了更新,并重新启动了apache以及任何使用openssl的易受攻击版本的服务。 当我们testing我们的网站,看看它是否仍然脆弱它说这是。 我们的服务器有从源代码编译的apache 2.4.7。 有没有人有任何想法,为什么会说我们仍然使用Openssl的脆弱版本? 如果我做了“rpm -qa | grep ssl”,我得到以下内容:
nss_compat_ossl-0.9.6-1.el6.x86_64 pyOpenSSL-0.10-2.el6.x86_64 openssl-1.0.1e-16.el6_5.7.x86_64 openssl-devel-1.0.1e-16.el6_5.7.x86_64 有两种可能性:
1)您编译的Apache版本使用另一个位置的编译版本的OpenSSL。 只要在Apache的二进制文件上使用ldd,它就会告诉你它使用了什么OpenSSL共享库:
# ldd /usr/sbin/nginx | grep -i ssl libssl.so.10 => /usr/lib64/libssl.so.10 (0x0000003816000000)
如果这给你不输出,那么它可能是下一个可能性。
2)你有静态的Apache内置的OpenSSL。
无论哪种情况,您都需要重build它。
我相信你正在用静态库编译你的apache,所以你可能需要在更新libssl-dev和openssl之后重新编译。