OpenSSL心血漏洞检查及整改方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

OPenSSL心血漏洞(CVE-2014-0160)自查方案&整改方案1漏洞介绍OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL1.0.1g之前的1.0.1版本的TLS和DTLS实现过程中存在安全漏洞,该漏洞源于程序没有正确处理HeartbeartExtension数据包。远程攻击者可借助特制的数据包利用该漏洞获取进程内存的敏感信息(如读取私钥)。2自查方案1.使用OpenSSL漏洞利用脚本进行自查:openssl.py使用方法:pythonopenssl.pywebsite-pport(注:python2.7.3Linux下可成功运行)例:pythonopenssl.py(未检测出漏洞)(检测出漏洞,红框部分为内存泄漏的内容)3整改方案3.1升级OpenSSL1.0.1g第一步:Debian/Ubuntu:#apt-getupdate#apt-getinstallopenssllibssl1.0.0CentOS/Redhat/Fedora:#yumupdateopensslopenSUSE:#zypperin-tpatchopenSUSE-2014-277如果没有源或者不想从源安装,请手工将OpenSSL升级至1.0.1g版本()第二步:修复完毕后,请重启WEB服务,Apache/Nginx/Httpd的重启方式分别如下:#/etc/init.d/apache2restart#/etc/init.d/ngnixrestart#/etc/init.d/httpdrestart还需要重启其他与OpenSSL相关的服务。(可通过lsof|greplibssl|awk'{print$1}'|sort|uniq查看与OpenSSL库相关的服务)。重启完毕后,可以通过自查脚本进行验证。3.2禁用Heartbleed模块如无法及时升级,可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。3.3升级安全设备策略及时升级IPS/IDS/WAF等安全设备策略,以备不时之需。

1 / 4
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功