| [p=20, null, center]场景[/p] | [p=20, null, center]需要处理[/p] |
[p=20, null, left]CentOS安全版[/p] | [p=20, null, left]安全[/p] |
[p=20, null, left]CentOS原生版[/p] | [p=20, null, left]默认安全的,如果升级到1.0.1e版本,需要再次更新[/p] |
[p=20, null, left]ubuntu12.4[/p] | [p=20, null, left]默认安全的,如果升级到1.0.1e版本,需要再次更新[/p] |
[p=20, null, left]SuSE[/p] | [p=20, null, left]安全[/p] |
[p=20, null, left]用户自行编译[/p] | [p=20, null, left]需自行编译[/p] |
2014-04-11 22:12:06
6061
2014-04-11 22:12:06
[p=23, null, left][color=rgb(0, 0, 0)]为确保现网业务安全、稳定运营,针对互联网业界存在“OpenSSL Heartbleed高危安全漏洞”问题,我司运维对现网使用的OS进行细化梳理,整理相应的数据和修复方法如下。请您尽快核实,并参考下文指引进行修复。请您了解,感谢您的支持![/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]OpenSSL官方发布的公告, 出现问题的版本是:[/p][p=23, null, left][color=rgb(0, 0, 0)]Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including[/p][p=23, null, left][color=rgb(0, 0, 0)]1.0.1f and 1.0.2-beta1.[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]现网服务器各版本OS中OpenSSL使用的场景: [/p]
[p=23, null, left][/p][p=23, null, left][color=rgb(0, 0, 0)]下面针对这几点分别做说明, 并在下文给出解决方案:[/p][p=23, null, left][color=rgb(0, 0, 0)]1)CentOS原生版, 包括CentOS6.2/6.3 redhat5.3等[/p][p=23, null, left][color=rgb(0, 0, 0)]这几个OS,默认的版本安全, 如果有升级到不安全版本, 需要再升级到最新版本。[/p][p=23, null, left][color=rgb(0, 0, 0)]这几个OS,默认安装的OpenSSL不在OpenSSL官方公告有安全漏洞的范围里, 默认安装OpenSSL -1.0.0-20.el6_2.5.x86_64[/p][p=23, null, left][color=rgb(0, 0, 0)]但是如果用户手工升级到1.0.1版本, 有可能升级为有问题的版本。[/p][p=23, null, left][color=rgb(0, 0, 0)]目前云平台软件源已经同步了修复版本, 可执行yum update openssl更新到最新版。[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]在系统上可查看相关信息[/p][p=23, null, left][color=rgb(0, 0, 0)]# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160[/p][p=23, null, left][color=rgb(0, 0, 0)]- fix CVE-2014-0160 - information disclosure in TLS[/p][p=23, null, left][color=rgb(0, 0, 0)]这个表示已经修复了漏洞.[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]2)Ubuntu 12.4[/p][p=23, null, left][color=rgb(0, 0, 0)]ubuntu和centos类似, 默认安装的版本是安全的, 如果有不慎升级到漏洞版本,需要再次升级.[/p][p=23, null, left][color=rgb(0, 0, 0)]默认版本是libssl1.0.0, 如果升级可以执行[/p][p=23, null, left][color=rgb(0, 0, 0)]用户可执行[/p][p=23, null, left][color=rgb(0, 0, 0)]apt-get update[/p][p=23, null, left][color=rgb(0, 0, 0)]apt-get install libssl1.0.0 或者 apt-get upgrade(这将升级所有已安装的包,谨慎操作)[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]验证本机安装的版本[/p][p=23, null, left][color=rgb(0, 0, 0)]root@VM-40-221-ubuntu:/etc/apt# dpkg -l|grep libssl[/p][p=23, null, left][color=rgb(0, 0, 0)]ii libssl1.0.0 1.0.1-4ubuntu5.12 SSL shared libraries[/p][p=23, null, left][color=rgb(0, 0, 0)]root@VM-40-199-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version[/p][p=23, null, left][color=rgb(0, 0, 0)]Version: 1.0.1-4ubuntu5.12 [/p][p=23, null, left][color=rgb(0, 0, 0)]参考ubuntu官方关于此漏洞的说明[/p][p=23, null, left][color=rgb(0, 0, 0)][color=rgb(0, 102, 153)]http://www.ubuntu.com/usn/usn-2165-1/[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]3)SuSE[/p][p=23, null, left][color=rgb(0, 0, 0)]使用OpenSSL 0.9.8a不存在安全问题.[/p][p=23, null, left][color=rgb(0, 0, 0)]4)用户自行编译的版本[/p][p=23, null, left][color=rgb(0, 0, 0)]这种情况下, 用户需要根据OpenSSL官方建议, 重新编译.[/p][p=23, null, left][color=rgb(0, 0, 0)]Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately[/p][p=23, null, left][color=rgb(0, 0, 0)]upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.[/p][p=23, null, left][color=rgb(0, 0, 0)] [/p][p=23, null, left][color=rgb(0, 0, 0)]解决方案[/p][p=23, null, left][color=rgb(0, 0, 0)]云平台提供给开发商的虚拟机默认是安全的,如果用户不慎安装带漏洞的OpenSSL版本,需要自行升级,云平台的下载源已经提供了最新版本的安装包。[/p][p=23, null, left][color=rgb(0, 0, 0)]各OS升级方法方法如下:[/p][p=23, null, left][color=rgb(0, 0, 0)]1)SuSE 该机器上的OpenSSL不需要升级[/p][p=23, null, left][color=rgb(0, 0, 0)]2)CentOS原生版,6.2/6.3; 默认是安全的,如果安装有带漏洞版本,需要再升级一次到最新版本[/p][p=23, null, left][color=rgb(0, 0, 0)]yum install openssl[/p][p=23, null, left][color=rgb(0, 0, 0)]确认方法:[/p][p=23, null, left][color=rgb(0, 0, 0)]# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160[/p][p=23, null, left][color=rgb(0, 0, 0)]- fix CVE-2014-0160 - information disclosure in TLS[/p][p=23, null, left][color=rgb(0, 0, 0)]3)Ubuntu12.4 默认是安全的, 如果安装有带漏洞的版本, ,需要再升级一次到最新版本[/p][p=23, null, left][color=rgb(0, 0, 0)]apt-get update[/p][p=23, null, left][color=rgb(0, 0, 0)]apt-get install libssl1.0.0[/p][p=23, null, left][color=rgb(0, 0, 0)]确认方法:[/p][p=23, null, left][color=rgb(0, 0, 0)]root@VM-40-199-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version[/p][p=23, null, left][color=rgb(0, 0, 0)]Version: 1.0.1-4ubuntu5.12[/p][p=23, null, left][color=rgb(0, 0, 0)]4)如果用户是自行编译的OpenSSL,请参考OpenSSL官方公告的方法重新编译[/p][p=23, null, left][color=rgb(0, 0, 0)]Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately[/p][p=23, null, left][color=rgb(0, 0, 0)]upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.[/p]
