¿Qué debo hacer sobre el error Heartbleed para los sitios que ejecuto?

9

El error Heartbleed recientemente anunciado en OpenSSL afecta a muchos sitios (70% de Internet).

Hay un sitio web:

http://www.heartbleed.com

Hay una prueba basada en la web:

http://filippo.io/Heartbleed/

¿Qué debo hacer para proteger los sitios que ejecuto?

Matt Cruikshank
fuente
55
... así como el StackExchange para profesionales de la seguridad. Consulte security.stackexchange.com/questions/55076 y security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
44
Todos los sitios importantes relacionados con la informática de SE ahora tienen esta pregunta ... Probablemente pronto se preguntará incluso en cooking.stackexchange.com : D
VL-80
He agregado una versión para el usuario final de esta pregunta en superuser.com/questions/739260/… (pero alguien ya la ha votado negativamente, sin explicación).
danorton
1
@Nikolay, ahora estoy tan tentado de preguntarlo en cooking.se ...
Joe

Respuestas:

7

Debieras:

  • Actualice su sistema a la última versión de OpenSSL
  • Genere nuevas claves y certificados para servicios basados ​​en OpenSSL y reinícielos
  • Revocar certificados anteriores
  • Invalidar todas las sesiones establecidas
Ejecutivos
fuente
Supongo que no conoces algunas buenas instrucciones claras para los últimos tres pasos, ¿verdad?
Paul D. Waite
Revocar y regenerar certificados de producción generalmente implica cualquier proceso que tenga su CA en su lugar. Dado que eso varía de una CA a la siguiente ...
Roger Lipscombe
Cómo actualizar su sistema depende de su administrador de paquetes. La invalidación de sesiones depende de la aplicación. En cuanto a los certificados, tendrá que comunicarse con su CA pero el primer paso debe ser el de generar una nueva clave y RSE: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Ejecutivos
4

Robado de un comentario de reddit.

  1. Actualiza tu sistema:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Reiniciar el servidor

  3. openssl version -a para asegurarte de que tienes la última versión !!

Matt Cruikshank
fuente
¡El OP entrega!
Soy John Galt el
1
@IamJohnGalt No es como si fuera una caja fuerte cerrada o algo así. ;)
Ƭᴇcʜιᴇ007
14
Esto no es suficiente. Las claves SSL deben ser reemplazadas, sin hacer eso, un parche lo dejará vulnerable al robo de claves anteriores.
Kyeotic
Esto supone que su sistema lo utiliza apt-getcomo administrador de paquetes. La pregunta no sugiere que este sea necesariamente el caso.
Michael
0

Más específicamente para Ubuntu o Debian en general

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref. Http://www.ubuntu.com/usn/usn-2165-1/

rleir
fuente