[分享] OpenSSL 嚴重安全性問題 Heartbleed Bencrie PTT批踢踢實業坊

[分享] OpenSSL 嚴重安全性問題 Heartbleed

作者: Bencrie 2014-04-08 12:32:10

嚴重到有專屬網站囧
http://heartbleed.com/
確認中槍的 distro
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
安全的
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

作者: k03004748549 (蜆) 2014-04-08 13:24:00

怎麼感覺最近常常聽到unix出這種包冏

作者: jokester (蠻王科科) 2014-04-08 13:58:00

好可怕 -.- 立刻更新

作者: CP64 ((￣▽￣＃)﹏﹏) 2014-04-08 14:48:00

難怪今天上完課回來打開就看到更新....

作者: lc85301 (pomelocandy) 2014-04-08 14:52:00

archlinux呢OAO

作者: obarisk (OSWALT) 2014-04-08 14:58:00

1.0.1.f 到底有沒有Orz

作者: Bencrie 2014-04-08 15:14:00

https://www.openssl.org/news/secadv_20140407.txt官方說有，不過實際上看 distro 有沒有開 heartbeat

作者: obarisk (OSWALT) 2014-04-08 15:19:00

所以debian testing還得回去確認一下Orz剛剛看是1.0.1f

作者: Bencrie 2014-04-08 15:28:00

http://tinyurl.com/pr9aspx

作者: bitlife (BIT一生) 2014-04-08 15:33:00

這種怪包我之前看到時第一個想法是NSA高手放進去的,裝成像不小心寫錯的code,沒辦法,這包腫很大,很難不往這裏想

作者: obarisk (OSWALT) 2014-04-08 15:35:00

謝啦，回去吃sid了

作者: HamalAri (哈馬‧阿里) 2014-04-08 16:48:00

Arch 今天終於升到 1.0.1g ，請更新吧

作者: fourdollars (四元) 2014-04-08 22:50:00

https://launchpad.net/ubuntu/+source/openssl 已修

作者: kira925 (1 2 3 4 疾風炭) 2014-04-08 23:19:00

MGA 4 今天剛剛修好

作者: mike7689 (帥啊~!老皮~!!) 2014-04-09 00:13:00

openSUSE 13.1 不在名單裡面? 剛剛收到更新ㄟ...@@又，隔壁OS X自帶的0.9.8y看起來應該是安全的,只是很老舊

作者: Bencrie 2014-04-09 01:01:00

名單僅供參考用 XD wheezy 也已經有 security update 了

作者: Debian (Debian) 2014-04-09 02:46:00

幹，中標了。

作者: s8321414 (冥王歐西里斯) 2014-04-09 07:54:00

樓上XD

作者: lc85301 (pomelocandy) 2014-04-09 12:52:00

樓樓上XDDD

作者: obarisk (OSWALT) 2014-04-09 13:03:00

wheezy今天又更新

作者: HowLeeHi (處處留心皆正妹) 2014-04-12 06:30:00

push

作者: kdjf (我抓得到什麼呢?) 2014-04-12 08:14:00

Diffie-Hellman key exchange 還是有必要...

作者: Bencrie 2014-04-12 09:16:00

真的有媒體報 NSA 兩年前已知 bug 存在而且加以利用雖然說 NSA 也發了稿否認啦

作者: KoenigseggG (地表最速) 2014-04-12 13:26:00

#1JI89WVp (Gossiping) 中時新聞能信？說是德國程式設計師寫的；NSA說看報才知漏洞

作者: soem (æµæ°´) 2014-04-12 14:51:00

上個月不也有TLS的goto寫錯,會不會是ios爆炸後大家開始review

作者: danny8376 (釣到一隻猴子@_@) 2014-04-12 20:42:00

kdjf 這不是協定的問題好嗎...

作者: bitlife (BIT一生) 2014-04-12 20:51:00

https://access.redhat.com/site/announcements/781953Redhat說它自家的website不用openssl,該不會早就防著NSA?

作者: StringR (MoO～) 2014-04-12 21:26:00

應該不是不用openssl，應該是他們用的版本不是有bug的那些

作者: danny8376 (釣到一隻猴子@_@) 2014-04-13 06:23:00

RHEL體系都還是openssl1.0 Heartbleed是1.0.1之後

作者: bitlife (BIT一生) 2014-04-13 18:09:00

我再看了一遍,應該是樓上2位說的,之前看太快誤解意思,再加上快十年沒有Redhat家產品

作者: danny8376 (釣到一隻猴子@_@) 2014-04-13 19:58:00

別說1.0了現在也不少機器是用0.9.8呢www

作者: StringR (MoO～) 2014-04-13 22:48:00

RH系的套件更版就只有慢而已，平常只會覺得麻煩，要手動找新版來換，難得爆炸的時候就會覺得穩定的舊版也不錯..XD

作者: danny8376 (釣到一隻猴子@_@) 2014-04-14 00:07:00

要追新版本來就不該用RH系啊...像Arch之類的多美好啊(笑

繼續閱讀

[問題] 新酷音預設注音問題kdok123 [活動] HackingThursday 固定聚會 (2014-04-10)a0726h77 [問題] 開久就當機(約一天)a23393830 [問題] 用avconv上下翻轉3gp影片rexkimta [問題] Nginx backlog設置b60413 [分享] GNU C 函式庫 FAQ 常見問題 guest1024 [問題] xterm顏色dreler1 [問題] 想請問OPENSUSE 無線網卡的設定heartsky7 Re: [問題] 正確安裝Library給cross compiler的方式DEATHX [問題] 正確安裝Library給cross compiler的方式fishlinghu