Apa yang harus saya lakukan tentang bug Heartbleed untuk situs yang saya jalankan?


9

Bug Heartbleed yang baru-baru ini diumumkan di OpenSSL memengaruhi banyak situs (70% dari internet).

Ada sebuah situs web:

http://www.heartbleed.com

Ada tes berbasis web:

http://filippo.io/Heartbleed/

Apa yang harus saya lakukan untuk melindungi situs yang saya jalankan?



5
... serta StackExchange untuk profesional keamanan. Lihat security.stackexchange.com/questions/55076 dan security.stackexchange.com/questions/tagged/heartbleed .
JdeBP

4
Setiap situs terkait komputer SE besar sekarang memiliki pertanyaan ini ... Mungkin akan segera ditanyakan bahkan pada cooking.stackexchange.com : D
VL-80

Saya telah menambahkan versi pengguna akhir dari pertanyaan ini di superuser.com/questions/739260/… (tetapi seseorang telah menurunkannya, tanpa penjelasan).
danorton

1
@Nikolay, sekarang saya sangat tergoda untuk menanyakannya pada cooking.se ...
Joe

Jawaban:


7

Anda harus:

  • Perbarui sistem Anda ke versi OpenSSL terbaru
  • Hasilkan kunci dan sertifikat baru untuk layanan yang mengandalkan OpenSSL dan mulai kembali
  • Cabut sertifikat sebelumnya
  • Validasikan semua sesi yang ditetapkan

Saya kira Anda tidak mengetahui beberapa instruksi yang jelas dan bagus untuk tiga langkah terakhir, bukan?
Paul D. Waite

Mencabut dan membuat ulang sertifikat produksi biasanya melibatkan proses apa pun yang sudah ada di CA Anda. Karena itu bervariasi dari satu CA ke yang berikutnya ...
Roger Lipscombe

Cara memperbarui sistem Anda tergantung pada manajer paket Anda. Sesi validasi tergantung pada aplikasi. Adapun sertifikat, Anda harus kontak CA Anda, tetapi langkah pertama harus untuk membuat kunci baru dan CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
eksekutif

4

Dicuri dari komentar reddit.

  1. Perbarui sistem Anda:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Nyalakan ulang server

  3. openssl version -a untuk memastikan Anda memiliki versi terbaru !!


OP memberikan!
Saya John Galt

1
@ IamJohnGalt Ini tidak seperti brankas yang terkunci atau sesuatu. ;)
Ƭᴇcʜιᴇ007

14
Ini tidak cukup. Kunci SSL perlu diganti, tanpa melakukan itu patch akan tetap membuat Anda rentan terhadap pencurian kunci sebelumnya.
Kyeotic

Ini mengasumsikan sistem Anda digunakan apt-getsebagai manajer paket Anda. Pertanyaannya tidak menyarankan bahwa ini adalah masalahnya.
Michael

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.