OPenSSL心血漏洞(CVE-2014-0160)自查方案&整改方案1漏洞介绍OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL1.0.1g之前的1.0.1版本的TLS和DTLS实现过程中存在安全漏洞,该漏洞源于程序没有正确处理HeartbeartExtension数据包。远程攻击者可借助特制的数据包利用该漏洞获取进程内存的敏感信息(如读取私钥)。2自查方案1.使用OpenSSL漏洞利用脚本进行自查:openssl.py使用方法:pythonopenssl.pywebsite-pport(注:python2.7.3Linux下可成功运行)例:pythonopenssl.py(未检测出漏洞)(检测出漏洞,红框部分为内存泄漏的内容)3整改方案3.1升级OpenSSL1.0.1g第一步:Debian/Ubuntu:#apt-getupdate#apt-getinstallopenssllibssl1.0.0CentOS/Redhat/Fedora:#yumupdateopensslopenSUSE:#zypperin-tpatchopenSUSE-2014-277如果没有源或者不想从源安装,请手工将OpenSSL升级至1.0.1g版本()第二步:修复完毕后,请重启WEB服务,Apache/Nginx/Httpd的重启方式分别如下:#/etc/init.d/apache2restart#/etc/init.d/ngnixrestart#/etc/init.d/httpdrestart还需要重启其他与OpenSSL相关的服务。(可通过lsof|greplibssl|awk'{print$1}'|sort|uniq查看与OpenSSL库相关的服务)。重启完毕后,可以通过自查脚本进行验证。3.2禁用Heartbleed模块如无法及时升级,可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。3.3升级安全设备策略及时升级IPS/IDS/WAF等安全设备策略,以备不时之需。