[分享] OpenSSL 严重安全性问题 Heartbleed Bencrie PTT批踢踢实业坊

[分享] OpenSSL 严重安全性问题 Heartbleed

楼主: Bencrie 2014-04-08 12:32:10

严重到有专属网站囧
http://heartbleed.com/
确认中枪的 distro
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
安全的
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

作者: k03004748549 (蚬) 2014-04-08 13:24:00

怎么感觉最近常常听到unix出这种包冏

作者: jokester (蛮王科科) 2014-04-08 13:58:00

好可怕 -.- 立刻更新

作者: CP64 ((￣▽￣＃)﹏﹏) 2014-04-08 14:48:00

难怪今天上完课回来打开就看到更新....

作者: lc85301 (pomelocandy) 2014-04-08 14:52:00

archlinux呢OAO

作者: obarisk (OSWALT) 2014-04-08 14:58:00

1.0.1.f 到底有没有Orz

楼主: Bencrie 2014-04-08 15:14:00

https://www.openssl.org/news/secadv_20140407.txt官方说有，不过实际上看 distro 有没有开 heartbeat

作者: obarisk (OSWALT) 2014-04-08 15:19:00

所以debian testing还得回去确认一下Orz刚刚看是1.0.1f

楼主: Bencrie 2014-04-08 15:28:00

http://tinyurl.com/pr9aspx

作者: bitlife (BIT一生) 2014-04-08 15:33:00

这种怪包我之前看到时第一个想法是NSA高手放进去的,装成像不小心写错的code,没办法,这包肿很大,很难不往这里想

作者: obarisk (OSWALT) 2014-04-08 15:35:00

谢啦，回去吃sid了

作者: HamalAri (哈马‧阿里) 2014-04-08 16:48:00

Arch 今天终于升到 1.0.1g ，请更新吧

作者: fourdollars (四元) 2014-04-08 22:50:00

https://launchpad.net/ubuntu/+source/openssl 已修

作者: kira925 (1 2 3 4 疾风炭) 2014-04-08 23:19:00

MGA 4 今天刚刚修好

作者: mike7689 (帅啊~!老皮~!!) 2014-04-09 00:13:00

openSUSE 13.1 不在名单里面? 刚刚收到更新ㄟ...@@又，隔壁OS X自带的0.9.8y看起来应该是安全的,只是很老旧

楼主: Bencrie 2014-04-09 01:01:00

名单仅供参考用 XD wheezy 也已经有 security update 了

作者: Debian (Debian) 2014-04-09 02:46:00

干，中标了。

作者: s8321414 (冥王欧西里斯) 2014-04-09 07:54:00

楼上XD

作者: lc85301 (pomelocandy) 2014-04-09 12:52:00

楼楼上XDDD

作者: obarisk (OSWALT) 2014-04-09 13:03:00

wheezy今天又更新

作者: HowLeeHi (处处留心皆正妹) 2014-04-12 06:30:00

push

作者: kdjf (我抓得到什么呢?) 2014-04-12 08:14:00

Diffie-Hellman key exchange 还是有必要...

楼主: Bencrie 2014-04-12 09:16:00

真的有媒体报 NSA 两年前已知 bug 存在而且加以利用虽然说 NSA 也发了稿否认啦

作者: KoenigseggG (地表最速) 2014-04-12 13:26:00

#1JI89WVp (Gossiping) 中时新闻能信？说是德国程式设计师写的；NSA说看报才知漏洞

作者: soem (æµæ°´) 2014-04-12 14:51:00

上个月不也有TLS的goto写错,会不会是ios爆炸后大家开始review

作者: danny8376 (钓到一只猴子@_@) 2014-04-12 20:42:00

kdjf 这不是协定的问题好吗...

作者: bitlife (BIT一生) 2014-04-12 20:51:00

https://access.redhat.com/site/announcements/781953Redhat说它自家的website不用openssl,该不会早就防著NSA?

作者: StringR (MoO～) 2014-04-12 21:26:00

应该不是不用openssl，应该是他们用的版本不是有bug的那些

作者: danny8376 (钓到一只猴子@_@) 2014-04-13 06:23:00

RHEL体系都还是openssl1.0 Heartbleed是1.0.1之后

作者: bitlife (BIT一生) 2014-04-13 18:09:00

我再看了一遍,应该是楼上2位说的,之前看太快误解意思,再加上快十年没有Redhat家产品

作者: danny8376 (钓到一只猴子@_@) 2014-04-13 19:58:00

别说1.0了现在也不少机器是用0.9.8呢www

作者: StringR (MoO～) 2014-04-13 22:48:00

RH系的套件更版就只有慢而已，平常只会觉得麻烦，要手动找新版来换，难得爆炸的时候就会觉得稳定的旧版也不错..XD

作者: danny8376 (钓到一只猴子@_@) 2014-04-14 00:07:00

要追新版本来就不该用RH系啊...像Arch之类的多美好啊(笑

继续阅读

[问题] 新酷音默认注音问题kdok123 [活动] HackingThursday 固定聚会 (2014-04-10)a0726h77 [问题] 开久就当机(约一天)a23393830 [问题] 用avconv上下翻转3gp影片rexkimta [问题] Nginx backlog设置b60413 [分享] GNU C 函式库 FAQ 常见问题 guest1024 [问题] xterm颜色dreler1 [问题] 想请问OPENSUSE 无线网卡的设定heartsky7 Re: [问题] 正确安装Library给cross compiler的方式DEATHX [问题] 正确安装Library给cross compiler的方式fishlinghu