Que dois-je faire à propos du bogue Heartbleed pour les sites que j'exécute?

9

Le bogue Heartbleed récemment annoncé dans OpenSSL affecte de nombreux sites (70% d'Internet).

Il y a un site Web:

http://www.heartbleed.com

Il existe un test basé sur le Web:

http://filippo.io/Heartbleed/

Que dois-je faire pour protéger les sites que j'exécute?

openssl heartbleed Matt Cruikshank
la source
6
Meilleure réponse sur Server Fault - Heartbleed: qu'est-ce que c'est et quelles sont les options pour l'atténuer?
Sathyajith Bhat
5
… Ainsi que StackExchange pour les professionnels de la sécurité. Voir security.stackexchange.com/questions/55076 et security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Tous les principaux sites informatiques de SE ont maintenant cette question ... Elle sera probablement bientôt posée même sur cooking.stackexchange.com : D
VL-80
J'ai ajouté une version pour utilisateur final de cette question sur superuser.com/questions/739260/… (mais quelqu'un l'a déjà dévalorisée, sans explication).
danorton
1
@Nikolay, maintenant je suis tellement tenté de le demander sur cooking.se ...
Joe

Réponses:

7

Vous devriez:

  • Mettez à jour votre système vers la dernière version d'OpenSSL
  • Générez de nouvelles clés et certificats pour les services reposant sur OpenSSL et redémarrez-les
  • Révoquer les anciens certificats
  • Invalider toutes les sessions établies
Exécutifs
la source
Je suppose que vous ne connaissez pas de belles instructions claires pour les trois dernières étapes, n'est-ce pas?
Paul D. Waite du
La révocation et la régénération des certificats de production impliquent généralement le processus mis en place par votre autorité de certification. Puisque cela varie d'un CA à l'autre ...
Roger Lipscombe
La mise à jour de votre système dépend de votre gestionnaire de packages. Les sessions invalides dépendent de l'application. Quant aux certificats, vous devrez contacter votre CA mais la première étape devrait être de générer une nouvelle clé et une CSR openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr:!
Exécutifs
4

Volé dans un commentaire reddit.

  1. Mettez à jour votre système:

    sudo apt-get update
sudo apt-get upgrade

  2. Redémarrez le serveur

  3. openssl version -a pour vous assurer que vous avez la dernière version !!

Matt Cruikshank
la source
L'OP livre!
Je suis John Galt le
1
@IamJohnGalt Ce n'est pas comme si c'était un coffre-fort verrouillé ou quelque chose. ;)
Ƭᴇcʜιᴇ007
14
Ce n'est pas suffisant. Les clés SSL doivent être remplacées, sans cela, un correctif vous laissera toujours vulnérable au vol de clés passé.
Kyeotic
Cela suppose que votre système utilise apt-getcomme gestionnaire de packages. La question ne suggère pas que ce soit nécessairement le cas.
Michael
0

Plus spécifiquement pour Ubuntu ou Debian en général

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Réf http://www.ubuntu.com/usn/usn-2165-1/

rleir
la source