私は開発環境の 1 つでサーバーを引き継ぎましたが、Heartbleed が発見されたときにパッチが適用されていなかったことがすぐにわかりました。
現在、すべての SSL ライブラリを含めてアップグレードし、自己署名証明書を再生成しましたが、サーバーを完全に再起動した後でも、さまざまな Heartbleed チェッカーに対して脆弱であると表示されます。
これが現状です。Ubuntu/カーネルバージョン:
root@server:~# uname -a
Linux server.domain.com 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
root@server:~#
OpenSSL ライブラリ バージョン:
root@server:~# dpkg -l|grep ssl
ii libio-socket-ssl-perl 1.53-1 Perl module implementing object oriented interface to SSL sockets
ii libnet-ssleay-perl 1.42-1build1 Perl module for Secure Sockets Layer (SSL)
ii libssl1.0.0 1.0.1-4ubuntu5.13 SSL shared libraries
ii openssl 1.0.1-4ubuntu5.13 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
root@server:~#
OpenSSL ビルド:
root@server:~# openssl version -b
built on: Fri May 2 20:24:44 UTC 2014
root@server:~#
/etc/issueサーバーがホストされている cloud-sigma からいくつかのものが含まれています。
これをさらに進めるにはどうしたらよいか、誰かアイデアをお持ちですか?
ありがとう
答え1
実際の Web サーバー バイナリに対して ldd スクリプトを実行する必要があります。Web サーバー (特に独自のもの) は静的にリンクされているか、ライブラリを奇妙なディレクトリからロードしている可能性があります。CentOS で Apache をチェックする方法の例:
# ldd /usr/sbin/httpd
[snip]
libssl.so.6 => /lib64/libssl.so.6 (0x00002b94ab034000)
# yum whatprovides libssl.so.6
Loaded plugins: dellsysid, security
openssl-0.9.8b-10.el5.i686 : The OpenSSL toolkit
Repo : base
Matched from:
Other : libssl.so.6
[snip]