OpenSSL 严重缺陷

杨咩咩 · 发表于 2014-4-8 12:29:32

别玩点评了，赶快去升级。

http://www.heartbleed.com

我是人 · 发表于 2014-4-8 21:38:25

关于OpenSSL破洞，大家可以用这个链接测试自己的机器网站有没有破掉：

http://filippo.io/Heartbleed

不是打补丁就完事了，所有SSL要重建！

yohu · 发表于 2014-4-8 13:04:02

已升级过了。

分享吧 · 发表于 2014-4-8 21:44:15

我是人发表于 2014-4-8 21:38
关于OpenSSL破洞，大家可以用这个链接测试自己的机器网站有没有破掉：

http://filippo.io/Heartbleed

破掉的话，会显示什么。。。。。

节操 · 发表于 2014-4-8 21:45:44

都这么高端用上这个了

我是人 · 发表于 2014-4-8 21:46:50

分享吧发表于 2014-4-8 21:44
破掉的话，会显示什么。。。。。

这样：
www.你的域名.com IS VULNERABLE.

如果是安全的：
All good, www.你的域名.com seems not affected!

Jetso · 发表于 2014-4-8 21:52:16

我是人发表于 2014-4-8 21:38
关于OpenSSL破洞，大家可以用这个链接测试自己的机器网站有没有破掉：

http://filippo.io/Heartbleed

在杨咩咩帖里看到我是人，你有什么话想说。。

wvidc · 发表于 2014-4-8 21:54:44

All good, www.wvidc.com seems not affected!

yohu · 发表于 2014-4-8 22:11:59

升级完补丁测试了一下，有问题，重启了nginx再测试，就没问题了。

我是人 · 发表于 2014-4-8 22:15:56

本帖最后由我是人于 2014-4-9 02:05 编辑

yohu 发表于 2014-4-8 22:11
升级完补丁测试了一下，有问题，重启了nginx再测试，就没问题了。

想要手动的可以用这个（记得把mjj.com换成你的域名或IP，port不是443的也要换掉）：

openssl s_client -connect mjj.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe

复制代码

编辑
注意：上面测的是heartbeat extension是否开启着，如果你的机器已经装上修复版本的OpenSSL，这指令也会给你heartbeat。能够真正测出有没有问题的可以用线上测试（http://possible.lv/tools/hb/），或者自己玩代码，例如https://gist.github.com/takeshixx/10107280，网上搜一下CVE-2014-0160 Proof of Concept就会有各类型的方便面出现。在这里顺便感谢雨宫音羽的回复。

补丁后如果要找谁还在用破东西可以这样：

lsof -n | grep ssl | grep DEL

复制代码

		自动登录	找回密码
密码			注册

OpenSSL 严重缺陷

点评

点评

评分