Я собираюсь установить патч на свой сервер (Debian Wheezy), и это будет непросто, поскольку большую его часть я собрал из исходного кода (Apache 2.4, PHP, MySQL).
Прежде чем приступить к исправлению, я хотел бы лучше понять, какие службы OpenSSL уязвимы к утечке. Очевидно, что службы HTTP/HTTPS уязвимы. А как насчет SMTP, IMAP и POP? SSH? Или этолюбойобщедоступный сервис, использующий уязвимые версии OpenSSL, о которых мне следует знать?
На моем сервере также есть IPMI/KVM (Supermicro), который я использую для установки своей ОС. Он доступен по HTTP/HTTPS на той же машине, но с другим IP-адресом. Интересно, уязвимо ли это. Я не уверен, использует ли встроенный веб-сервер Supermicro OpenSSL. Если да, то я могу попросить своего провайдера сервера применить любые исправления прошивки.
решение1
Очевидно, что службы HTTP/HTTPS уязвимы.
Только позже ;)
А как насчет SMTP, IMAP и POP?
ЕстьВ сетиине в сетитестирует почтовые серверы (и веб-серверы). Если вы используете Debian, есть большая вероятность, что ваше программное обеспечение было скомпилировано с версией openSSL < 1.0.1, когда уязвимость начинает проявляться, поэтому, если двоичный файл был статически скомпилирован (см. ниже), проверьте его сначала таким образом, если вы не хотите заморачиваться с пересборкой.
SSH-соединение?
SSH не использует эту функцию, поэтому не пострадал.
Помните, что в Debian недостаточно просто заменить общую библиотеку, так как по какой-то причине некоторые серверные штуки с поддержкой OpenSSL, похоже, были статически связаны. Чтобы проверить, запустите lddдвоичный файл. Если вы знаете, что приложение использует SSL/TLS и нет ссылки на libssl или libgnutls, значит, оно было скомпилировано. Если оно не проходит один из тестов heartbleed, все приложение должно быть перестроено.