我的 openssl 版本容易受到攻击吗?
Is my openssl version vulnerable?
我刚刚使用默认设置安装了 Centos 7,我想确定我的 openssl 版本是否受到 heartbleed 的影响。我猜不是,因为版本命令显示 built on: Mon Dec 14 05:15:47 UTC 2015 并且大多数易受攻击的版本都是在 2013 年构建的。
无论如何,这里是命令的完整输出:
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Mon Dec 14 05:15:47 UTC 2015
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: rdrand dynamic
来自https://www.openssl.org/news/vulnerabilities.html
CVE-2014-0160 (OpenSSL advisory) 7th April 2014: A missing bounds
check in the handling of the TLS heartbeat extension can be used to
reveal up to 64kB of memory to a connected client or server (a.k.a.
Heartbleed). This issue did not affect versions of OpenSSL prior to
1.0.1. Reported by Neel Mehta. Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
您的版本是 1.0.1e,因此容易受到攻击。至少升级到 1.0.1g.
不 - 你不容易流血。安全修复程序被反向移植到由 centos 管理的 1.0.1e 软件包。
参见:https://wiki.centos.org/Security/Heartbleed
我刚刚使用默认设置安装了 Centos 7,我想确定我的 openssl 版本是否受到 heartbleed 的影响。我猜不是,因为版本命令显示 built on: Mon Dec 14 05:15:47 UTC 2015 并且大多数易受攻击的版本都是在 2013 年构建的。
无论如何,这里是命令的完整输出:
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Mon Dec 14 05:15:47 UTC 2015
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: rdrand dynamic
来自https://www.openssl.org/news/vulnerabilities.html
CVE-2014-0160 (OpenSSL advisory) 7th April 2014: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server (a.k.a. Heartbleed). This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta. Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
您的版本是 1.0.1e,因此容易受到攻击。至少升级到 1.0.1g.
不 - 你不容易流血。安全修复程序被反向移植到由 centos 管理的 1.0.1e 软件包。 参见:https://wiki.centos.org/Security/Heartbleed