Was soll ich gegen den Heartbleed-Fehler für die Websites tun, die ich betreibe?

Der kürzlich angekündigte Heartbleed-Fehler in OpenSSL betrifft viele Websites (70% des Internets).

Es gibt eine Website:

http://www.heartbleed.com

Es gibt einen webbasierten Test:

http://filippo.io/Heartbleed/

Was kann ich tun, um die von mir betriebenen Websites zu schützen?

openssl heartbleed

— Matt Cruikshank
quelle

Besser am beantwortet Serverfehler - Heartbleed: Was ist das und welche Möglichkeiten gibt es, es zu mildern?

— Sathyajith Bhat

… Sowie den StackExchange für Sicherheitsexperten. Sehen security.stackexchange.com/questions/55076 und security.stackexchange.com/questions/tagged/heartbleed .

— JdeBP

Jede größere SE-Computer-Site hat jetzt diese Frage ... Wahrscheinlich wird sie bald auch noch gestellt cooking.stackexchange.com : D

— VL-80

Ich habe eine Endbenutzerversion dieser Frage unter hinzugefügt superuser.com/questions/739260/… (aber jemand hat es bereits ohne Erklärung abgelehnt).

— danorton

@Nikolay, jetzt bin ich so versucht, es auf cooking.se zu fragen ...

— Joe

Antworten:

Du solltest:

Aktualisieren Sie Ihr System auf die neueste OpenSSL-Version
Generieren Sie neue Schlüssel und Zertifikate für Dienste, die auf OpenSSL basieren, und starten Sie sie neu
Frühere Zertifikate widerrufen
Alle eingerichteten Sitzungen ungültig machen

— Executifs
quelle

Ich nehme an, Sie kennen keine klaren Anweisungen für die letzten drei Schritte, oder?

— Paul D. Waite

Das Sperren und Wiederherstellen von Produktionszertifikaten hängt normalerweise von dem Prozess ab, den Ihre Zertifizierungsstelle eingerichtet hat. Da das von einer CA zur nächsten variiert ...

— Roger Lipscombe

Wie Sie Ihr System aktualisieren, hängt von Ihrem Paketmanager ab. Das Inaktivieren von Sitzungen ist anwendungsabhängig. Bei Zertifikaten müssen Sie sich an Ihre Zertifizierungsstelle wenden. Der erste Schritt sollte jedoch darin bestehen, einen neuen Schlüssel und eine neue CSR zu generieren: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!

— Executifs

Gestohlen von einem reddit Kommentar.

Aktualisieren Sie Ihr System:

sudo apt-get update
sudo apt-get upgrade

Starten Sie den Server neu
openssl version -a um sicherzustellen, dass Sie die neueste Version haben !!

— Matt Cruikshank
quelle

Das OP liefert!

— I am John Galt

@IamJohnGalt Es ist nicht so, als wäre es ein verschlossener Safe oder so. ;)

— Ƭᴇcʜιᴇ007

Das ist nicht ausreichend. Die SSL-Schlüssel müssen ersetzt werden, ohne dass Sie durch einen Patch anfällig für einen Diebstahl von Schlüsseln sind.

— Tyrsius

Dies setzt voraus, dass Ihr System verwendet apt-get als Ihr Paketmanager. Die Frage deutet nicht unbedingt darauf hin, dass dies der Fall ist.

— Michael

Genauer gesagt für Ubuntu oder Debian im Allgemeinen

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

— rleir
quelle