一 、 前言
这两天这个事件沸沸扬扬啊,有了这个bug黑客在电脑前动动手指就能获取各大电商网站、各大银行用户的用户名和密码了,屌爆了
BUG具体内容 : http://heartbleed.com/
新闻报导 : http://tech.sina.com.cn/i/2014-04-08/22249305763.shtml
二、查询自己网站是否中招
访问 http://filippo.io/Heartbleed
输入自己网站的ip,注意后面输入端口,比如查询淘宝的 42.120.194.11:443
看网站输出结果
三、哪些版本的openssl存在漏洞
四、如何修复bug
1、升级openssl版本
1) 到http://www.openssl.org/source/下载最新版本的 openssl-1.0.1g.tar.gz
2)解压安装。
./config && make && make install
3)配置环境
mv /usr/bin/openssl /usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
ln –s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln –s /usr/local/ssl/include/openssl /usr/include/openssl
4)查看openssl版本是否对
openssl version -a,如果出现OpenSSL 1.0.1g证明正确
5)重启linux,运行reboot命令
6)Done
2、重新更换https证书
这个没有研究,重新花钱买一份???因为我的服务器里面的openssl版本不存在漏洞,所以就无需更换证书了