Co powinienem zrobić z błędem Heartbleed dla stron, które prowadzę?

Niedawno ogłoszony błąd Heartbleed w OpenSSL dotyczy wielu witryn (70% Internetu).

Jest strona internetowa:

http://www.heartbleed.com

Istnieje test internetowy:

http://filippo.io/Heartbleed/

Co powinienem zrobić, aby chronić witryny, które prowadzę?

openssl heartbleed

— Matt Cruikshank
źródło

Lepiej odpowiedz na błąd serwera - Heartbleed: co to jest i jakie są opcje, aby go naprawić?

— Sathyajith Bhat

… A także StackExchange dla specjalistów ds. Bezpieczeństwa. Zobacz security.stackexchange.com/questions/55076 i security.stackexchange.com/questions/tagged/heartbleed .

— JdeBP

Każda ważna strona związana z komputerami SE ma teraz to pytanie ... Prawdopodobnie wkrótce zostanie zadane nawet na cooking.stackexchange.com : D

— VL-80

Dodałem wersję tego pytania dla użytkownika końcowego na stronie superuser.com/questions/739260/... (ale ktoś już to ocenił, bez wyjaśnienia).

— danorton

@Nikolay, teraz mam wielką ochotę zapytać o gotowanie.se ...

— Joe

Odpowiedzi:

Powinieneś:

Zaktualizuj system do najnowszej wersji OpenSSL
Wygeneruj nowe klucze i certyfikaty dla usług opartych na OpenSSL i zrestartuj je
Odwołaj poprzednie certyfikaty
Unieważnij wszystkie ustanowione sesje

— Executifs
źródło

Nie sądzę, że znasz jakieś dobre jasne instrukcje dotyczące ostatnich trzech kroków, prawda?

— Paul D. Waite,

Odwołanie i zregenerowanie certyfikatów produkcyjnych zwykle wiąże się z dowolnym procesem stosowanym przez urząd certyfikacji. Ponieważ różni się w zależności od CA ...

— Roger Lipscombe

Sposób aktualizacji systemu zależy od menedżera pakietów. Sesje unieważniania zależą od aplikacji. Co do certyfikatów, musisz skontaktować się z CA ale pierwszym krokiem powinno być, aby wygenerować nowy klucz i CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!

— Executifs,

Skradzione z komentarza reddit.

Zaktualizuj swój system:

sudo apt-get update
sudo apt-get upgrade

Uruchom ponownie serwer
openssl version -a aby upewnić się, że masz najnowszą wersję !!

— Matt Cruikshank
źródło

OP dostarcza!

— Jestem John Galt,

@IJJohnGalt To nie jest tak, że jest to zamknięty sejf czy coś takiego. ;)

— ᴇcʜιᴇ007

To nie wystarcza. Klucze SSL należy wymienić, ale bez tego łatka nadal naraża cię na kradzież kluczy w przeszłości.

— Kyeotic,

Zakłada się, że system używa apt-getjako menedżera pakietów. Pytanie nie sugeruje, że tak właśnie jest.

— Michael

W szczególności dla Ubuntu lub ogólnie Debiana

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Zobacz http://www.ubuntu.com/usn/usn-2165-1/

— rleir
źródło