linux心跳出血漏洞,heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)
heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2014-0160 漏洞 (心脏出血漏洞)。
什么是心脏出血漏洞?
CVE-2014-0160,心脏出血漏洞,是一个非常严重的 OpenSSL 漏洞。这个漏洞使得攻击者可以从存在漏洞的服务器上读取64KB大小的内存信息。这些信息中可能包含非常敏感的信息,包括用户请求、密码甚至证书的私钥。
据称,已经有攻击者在某宝上尝试使用漏洞读取数据,在读取200次后,获取了40多个用户名和7个密码。
如何使用 heartbleeder 检测心脏出血漏洞?
安装
可以在gobuild.io下载编译好的二进制文件的压缩包。包括Windows、Linux、MacOSX。
由于服务器操作系统最常用的是Linux,因此这里提供一下下载Linux二进制压缩包的命令:
Linux(amd64)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/amd64 -O output.zip
Linux(i386)
wget http://gobuild.io/github.com/titanous/heartbleeder/master/linux/386 -O output.zip
下载后解压缩即可。
也可以自行编译安装(Go版本需在1.2以上), 使用如下命令:
go get github.com/titanous/heartbleeder
二进制文件会放置在 $GOPATH/bin/heartbleeder。
使用
$ heartbleeder example.com
INSECURE - example.com:443 has the heartbeat extension enabled and is vulnerable
Postgres 默认在 5432 端口使用 OpenSSL,如果你使用Postgres服务器,则需使用如下命令:
$ heartbleeder -pg example.com
SECURE - example:5432 does not have the heartbeat extension enabled
如何手工检测心脏出血漏洞
如果不方便安装heartbleeder,或者不放心自动检测的结果,也可以手动检测。
首先判断服务器上的Openssl版本是否是有漏洞的版本。目前有漏洞的版本有: 1.0.1-1.0.1f(包含1.0.1f)以及 1.0.2-beta。你可以使用如下的命令查看服务器上的当前版本:
openssl version
接着你需要判断是否开启了心跳扩展:
openssl s_client -connect 你的网站:443 -tlsextdebug 2>&1| grep 'TLS server extension "heartbeat" (id=15), len=1'
如果以上两个条件你都满足的话,很遗憾,你的服务器受此漏洞影响,需要尽快修复。
如何修复
将受影响的服务器下线,避免它继续泄露敏感信息。
停止旧版的 openssl 服务,升级 openssl 到新版本,并重新启动。
生成新密钥。(因为攻击者可能通过漏洞获取私钥。)将新密钥提交给你的CA,获得新的认证之后在服务器上安装新密钥。
服务器上线。
撤销旧认证。
撤销现有的会话cookies。
要求用户修改密码。
linux心跳出血漏洞,heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)相关推荐
- linux 心脏滴血漏洞,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))...
心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)),哪吒游戏网给大家带来详细的心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏 ...
- python漏洞检测脚本_一个检测OpenSSL心脏出血漏洞的Python脚本分享
接自: http://www.jb51.net/article/48858.htm 什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息.网站采用此加密技术后,第三方无法读 ...
- OpenSSL心脏出血漏洞全回顾
近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的.据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存 ...
- 渗透测试-Openssl心脏出血漏洞复现
心脏滴血 早在2014年,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞.在黑客社区,它被命名为"心脏出血",表明网络上出现了"致命内伤".利用该漏 ...
- Openssl“心脏出血”漏洞分析及其利用
一.openssl漏洞形成原因 4月7日,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞.在黑客社区,它被命名为"心脏出血",表明网络上出现了"致命内伤&qu ...
- OpenSSL“心脏出血”漏洞爆发和修复方法
2019独角兽企业重金招聘Python工程师标准>>> 4月8日消息,昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞(即OpenSSL"心脏出血"漏洞),该 ...
- OpenSSL“心脏出血”漏洞
OpenSSL"心脏出血"漏洞是一个非常严重的问题.这个漏洞使攻击者能够从内存中读取最多64 KB的数据. AD: 当我分析GnuTLS的漏洞的时候,我曾经说过,那不会是我们看到的 ...
- 关于OpenSSL“心脏出血”漏洞的分析
0x00 背景 原作者:Sean Cassidy 原作者Twitter:@ex509 原作者博客:http://blog.existentialize.com 来源:http://blog.exist ...
- 漏洞分析---关于OpenSSL“心脏出血”漏洞的分析
关于OpenSSL"心脏出血"漏洞的分析 关于出处 原文作者:Sean Cassidy [Twitter:@ex509 ] 原作博客:http://blog.existential ...
最新文章
- linux命令行中,双引号中的感叹号将被解释为历史命令
- Linux启动网卡时出现RTNETLINK answers: File exists错误解决方法
- Microsoft Power BI Desktop概念学习系列之Microsoft Power BI Desktop的下载和安装(图文详解)...
- HTML里Dom onload和jQuery document ready这两个事件的区别
- 前端学习(1382):多人管理项目2案例初始化
- 数组c语言与指针,浅析C语言数组与指针
- Windows Phone 7 处理休眠和墓碑的恢复
- mysql获取当天,昨天,本周,本月,上周,上月的起始时间
- 网页打印和ActiveX控件打印
- PyHook3实现监控键盘鼠标操作
- 中国移动推自有品牌终端利大于弊
- 银行联行号cnasp查询(二)
- match函数的用法
- 全国离婚率下跌约五成是因为它?
- syntactic 与semantic 的区别
- unity期末个人作品-落笔洞寻宝探险之旅(寻宝游戏)
- 第一(关于list及dict)
- Linux目录结构,命令,文件类型学习
- 现代软件工程 课程总结
- svga插件_如何压缩SVGA格式的礼物特效文件