सवाल हार्टब्लेड: ओपनएसएसएल संस्करण को विश्वसनीय और पोर्टेबल तरीके से कैसे जांचें?


मैं जीएनयू / लिनक्स और अन्य सिस्टम पर ओपनएसएसएल संस्करण की जांच करने के लिए एक विश्वसनीय और पोर्टेबल तरीका देख रहा था, इसलिए उपयोगकर्ता आसानी से खोज सकते हैं कि क्या उन्हें हार्टबलेड बग के कारण अपने एसएसएल को अपग्रेड करना चाहिए।

मैंने सोचा कि यह आसान होगा, लेकिन मैं नवीनतम ओपनएसएसएल 1.0.1 जी के साथ उबंटू 12.04 एलटीएस पर जल्दी से एक समस्या में भाग गया:

openssl संस्करण-ए

मैं एक पूर्ण संस्करण देखने की उम्मीद कर रहा था, लेकिन इसके बजाय मुझे यह मिला:

ओपनएसएसएल 1.0.1 14 मार्च 2012
पर बनाया गया: मंगल जून 4 07:26:06 यूटीसी 2013
मंच: [...]

मेरे अप्रिय आश्चर्य के लिए, संस्करण पत्र नहीं दिखाता है। नहीं एफ, कोई जी नहीं, बस "1.0.1" और वह यह है। सूचीबद्ध तिथियां एक (गैर-) कमजोर संस्करण को खोजने में सहायता नहीं करती हैं।

1.0.1 (ए-एफ) और 1.0.1 जी के बीच का अंतर महत्वपूर्ण है।

प्रशन:

  • संस्करण की जांच करने के लिए एक विश्वसनीय तरीका क्या है, अधिमानतः distro पार?
  • संस्करण पत्र पहली जगह क्यों नहीं दिख रहा है? मैं किसी और चीज पर इसका परीक्षण करने में असमर्थ था लेकिन उबंटू 12.04 एलटीएस।

अन्य इस व्यवहार की रिपोर्ट भी कर रहे हैं। कुछ उदाहरण:

कुछ (distro- विशिष्ट) सुझाव रोलिंग में:

  • उबंटू और डेबियन: apt-cache policy openssl तथा apt-cache policy libssl1.0.0। संस्करण संख्याओं को यहां संकुलों की तुलना करें: http://www.ubuntu.com/usn/usn-2165-1/
  • फेडोरा 20: yum info openssl (ट्विटर पर @znmeb धन्यवाद) और yum info openssl-libs

यह जांचना कि ओपनएसएसएल का पुराना संस्करण अभी भी निवासी है:

यह पता चला है कि उबंटू और डेबियन पर ओपनएसएसएल पैकेज अपडेट करना हमेशा पर्याप्त नहीं होता है। आपको libssl1.0.0 पैकेज को भी अपडेट करना चाहिए, और- जांचें कि क्या करें openssl version -a इंगित करता है built on: Mon Apr 7 20:33:29 UTC 2014


86
2018-04-07 23:51


मूल


कम से कम सुनिश्चित करें कि आपके पास ओपनएसएसएल संस्करण है नहीं है जी की तारीख के कारण जी - Pato Sáinz
यह CentOS पर काम करता है [root@null~]# openssl version -a OpenSSL 1.0.1e-fips 11 Feb 2013 - Jacob
@ PatoSáinz मैंने जांच की है apt-cache policy openssl और इसके साथ जवाब दिया: Installed: 1.0.1-4ubuntu5.12 जो उभंटू द्वारा 12.04 एलटीएस के लिए जारी 1.0.1 जी है। मैंने लॉग आउट किया और वापस आ गया। क्या कुछ और है जो मैं सत्यापित करने के लिए कर सकता हूं? - Martijn
मैं बताउंगा, इसके लिए जो पता नहीं है, अगर यह सहायक है ... उबंटू 12.04 एलटीएस ओपनएसएसएल 1.0.1 (वेनिला) के साथ भेज दिया गया। - HopelessN00b
यदि वह बिल्ड तिथि सही है, तो आप 1.0.1e से अधिक हाल ही में "रिलीज़ संस्करण" कोड नहीं कर सकते हैं, क्योंकि 1.0.1f प्रति 2014 में बाहर आया था ओपनएसएसएल 1.0.1 रिलीज नोट्स। निश्चित रूप से आधिकारिक ओपनएसएसएल 1.0.1 एफ रिलीज से पहले व्यक्तिगत लाइनों या अनुभागों को आपके उबंटू संस्करण में वापस भेज दिया गया हो सकता है। और निर्माण की तारीख कम हो सकती है जो पूरी तरह सहायक हो। - Anti-weakpasswords


जवाब:


ओपनएसएसएल के आपके संस्करण द्वारा प्रदर्शित तिथि के आधार पर, ऐसा लगता है कर रहे हैं वहाँ प्रदर्शित पूर्ण संस्करण देखकर।

ओपन एसएसएल 1.0.1 14 मार्च, 2012 को जारी किया गया था। 1.0.1 ए अप्रैल 1 9 अप्रैल को जारी किया गया था।

तो, मैं आगे बढ़ने जा रहा हूं और जोर दे रहा हूं openssl version -a सिस्टम पर स्थापित ओपनएसएसएल का पूरा संस्करण प्रदर्शित करने के लिए उचित, क्रॉस-डिस्ट्रो तरीका है। ऐसा लगता है कि मेरे पास सभी लिनक्स डिस्ट्रोज़ के लिए काम है, और help.ubuntu.com OpenSSL दस्तावेज़ में भी सुझाई गई विधि है। उबंटू एलटीएस 12.04 वेनिला ओपनएसएसएल v1.0.1 के साथ भेज दिया गया, जो संस्करण है जो एक संक्षिप्त संस्करण जैसा दिखता है, उसके बाद एक पत्र नहीं है।

ऐसा कहकर, ऐसा लगता है कि एक है प्रमुख उबंटू में बग (या वे ओपनएसएसएल कैसे पैकेज करते हैं), उसमें openssl version -a 14 मार्च, 2012 से मूल 1.0.1 संस्करण को वापस जारी रखता है, भले ही ओपनएसएसएल को किसी भी नए संस्करण में अपग्रेड किया गया हो या नहीं। और, ज्यादातर बार जब बारिश होती है, तो यह बहती है।

उबंटू ओपनएसएसएल (या अन्य पैकेज) में बैकपोर्टिंग अपडेट की आदत में एकमात्र प्रमुख डिस्ट्रो नहीं है, अपस्ट्रीम अपडेट्स और वर्जन नंबरिंग पर भरोसा करने से पहले जो हर कोई पहचानता है। ओपनएसएसएल के मामले में, जहां अक्षर संस्करण संख्या केवल बग फिक्स और सुरक्षा अद्यतनों का प्रतिनिधित्व करती है, यह लगभग समझ में नहीं आता है, लेकिन मुझे सूचित किया गया है कि यह हो सकता है FIPS-मान्य OpenSSL के साथ पैक किया गया प्रमुख लिनक्स distros जहाज प्लगइन। पुनर्मूल्यांकन के आसपास की आवश्यकताओं के कारण जो किसी भी बदलाव के कारण ट्रिगर होता है, यहां तक ​​कि प्लग सुरक्षा सुरक्षा छेद भी बदलता है, यह संस्करण-लॉक है।

उदाहरण के लिए, डेबियन पर, निश्चित संस्करण का संस्करण संख्या प्रदर्शित करता है 1.0.1e-2+deb7u5 के अपस्ट्रीम संस्करण के बजाय 1.0.1g

नतीजतन, इस समय, लिनक्स वितरण में एसएसएल संस्करणों की जांच करने के लिए कोई विश्वसनीय, पोर्टेबल तरीका नहीं है, क्योंकि वे सभी अलग-अलग संस्करण क्रमांकन योजनाओं के साथ अपने स्वयं के बैकपोर्ड पैच और अपडेट का उपयोग करते हैं। आपको चलाने वाले लिनक्स के प्रत्येक अलग-अलग वितरण के लिए आपको निश्चित संस्करण संख्या देखना होगा, और यह निर्धारित करने के लिए कि आपके सर्वर एक कमजोर संस्करण चला रहे हैं या नहीं, उस वितरण के विशिष्ट संस्करण संख्या के विरुद्ध स्थापित ओपनएसएसएल संस्करण की जांच करें।


67
2018-04-08 00:05



मेरा इंस्टॉल उबंटू रिपॉजिटरीज़ की तुलना में खुद को संकलित या अन्य स्रोतों से डाउनलोड किए बिना कुछ सरल उबंटू 12.04 एलटीएस है। यदि उबंटू संक्षिप्त संस्करण संख्याओं के साथ ओपनएसएसएल वितरित कर रहा है, तो openssl version -a एक पोर्टेबल विधि नहीं है (कम से कम उबंटू को पोर्टेबल नहीं)। मैंने देख लिया है apt-cache policy openssl और इसके साथ जवाब दिया: Installed: 1.0.1-4ubuntu5.12 जो उभंटू द्वारा 12.04 एलटीएस के लिए जारी 1.0.1 जी है। मैंने जांच से पहले लॉग आउट किया और वापस आ गया। - Martijn
HopelessN00b, संस्करणों को बंपिंग के बजाय बैकपोर्टिंग फ़िक्स की नीति के बारे में संदिग्ध कुछ भी नहीं है; यह मंच स्थिरता सुनिश्चित करने का एक बहुत अच्छा तरीका है, जो एक सर्वर वातावरण में अत्यधिक वांछनीय है। किसी भी निर्णय की तरह, इसके परिणाम हैं, जिन्हें उपयोगकर्ताओं को अवगत होना चाहिए; लेकिन सिर्फ इसलिए कि यह "मैं foo x.y.z चला रहा हूं इसलिए मैं नवीनतम शोषण के लिए कमजोर नहीं हूं"तर्क की रेखा, जो इसे एक बुरी चीज नहीं बनाती है। - MadHatter
@towo संस्करण संख्या किसी कारण से मौजूद है। अगर हम खिड़की से अपस्ट्रीम संस्करण संख्याओं को चकित कर रहे हैं क्योंकि "एंटरप्राइसी" या जो भी हो, तो संस्करण संख्याओं के साथ परेशान क्यों हो? साथ ही साथ हमारे सभी सामानों को नामांकन के साथ नामकरण शुरू कर सकते हैं। हम कमजोर OpenSSL संस्करणों को कॉल कर सकते हैं पवित्र हार्टबलेड और निश्चित लोग चालाक कोगुलेंट। - HopelessN00b
@ HopelessN00b मुझे लगता है कि आप "यह संस्करण X.Y.Z" फिक्स्ड में फंस गए थे, वे संस्करण संख्याओं का पालन नहीं करते हैं क्योंकि नवीनतम संस्करण में आयात किए जा रहे सभी लोग बग और सुरक्षा फ़िक्स हैं। यदि वे संस्करण संख्या को टक्कर देते हैं, तो आप अतिरिक्त कार्यक्षमता की भी अपेक्षा करेंगे .. "मेरे पास ओपनएसएसएल बनाम X.Y.Z है, मेरे पास ECDHA ???? ..etc क्यों नहीं है"। यह समझ में आता है जब आप समझते हैं कि यह केवल बगफिक्स है। - NickW
@NickW @ जुबल @ मैडहैटर ओपनएसएसएल के साथ बात यह है कि: After the release of OpenSSL 1.0.0 the versioning scheme changed. Letter releases (e.g. 1.0.1a) can only contain bug and security fixes and no new features. इसलिए, अपस्ट्रीम वर्जनिंग योजना को छोड़कर कुछ भी प्राप्त नहीं हुआ है; अद्यतनों का बैकपोर्ट करना अनिवार्य रूप से अद्यतन संस्करण का उपयोग करने जैसा ही है, क्योंकि अद्यतन में केवल सुरक्षा और बग फिक्स शामिल हैं। यह क्या करता है चीजों को भ्रमित कर देता है और लिनक्स डिस्ट्रोज़ में ओपनएसएसएल संस्करण को पोर्टेबल रूप से जांचने के लिए हमें कोई रास्ता नहीं छोड़ता है। - HopelessN00b


यदि आप वास्तव में क्रॉस-प्लेटफ़ॉर्म कुछ चाहते हैं, संस्करण संख्याओं पर भरोसा करने के बजाय भेद्यता की जांच करें। 

आपके पास कोड हो सकता है जो एक संस्करण संख्या की रिपोर्ट करता है जिसे कमजोर माना जाता है, लेकिन वास्तविक कोड कमजोर नहीं है। और विपरीत - चुपचाप कमजोर कोड - और भी बदतर हो सकता है!

ओपनएसएसएल और ओपनएसएसएच जैसे ओपन-सोर्स उत्पादों को बंडल करने वाले कई विक्रेता एपीआई स्थिरता और भविष्यवाणी को बनाए रखने के लिए कोड के पुराने संस्करण में तत्काल सुधारों को फिर से निकालेंगे। यह "दीर्घकालिक रिलीज" और उपकरण प्लेटफार्मों के लिए विशेष रूप से सच है।

लेकिन विक्रेताओं जो इसे चुपचाप करते हैं (अपने स्वयं के संस्करण स्ट्रिंग प्रत्यय को जोड़ने के बिना) भेद्यता स्कैनर (और उपयोगकर्ताओं को भ्रमित करने) में झूठी सकारात्मक ट्रिगर करने का जोखिम चलाते हैं। तो इस पारदर्शी और सत्यापन योग्य बनाने के लिए, कुछ विक्रेता अपने स्वयं के तारों को प्रमुख पैकेज संस्करण में जोड़ते हैं। डेबियन (ओपनएसएसएल) और फ्रीबीएसडी दोनों (ओपनएसएसएच में, के माध्यम से VersionAddendum sshd_config निर्देश) कभी-कभी ऐसा करते हैं।

ऐसे विक्रेता जो ऐसा नहीं करते हैं, संभवतः कई प्रत्यक्ष और अप्रत्यक्ष तरीकों के कारण टूटने का मौका कम करने के लिए ऐसा कर रहे हैं जो अन्य प्रोग्राम संस्करण संख्याओं की जांच करते हैं।

तो यह इस तरह दिख सकता है:

$ cat /etc/lsb-release 
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=12.04
DISTRIB_CODENAME=precise
DISTRIB_DESCRIPTION="Ubuntu 12.04.4 LTS"

$ openssl version
OpenSSL 1.0.1 14 Mar 2012

... भले ही यह पैच किया गया है:

$ dpkg -l openssl | grep openssl
ii  openssl  1.0.1-4ubuntu5.12  [truncated]

$ ls -la `which openssl`
-rwxr-xr-x 1 root root 513208 Apr  7 12:37 /usr/bin/openssl

$ md5sum /usr/bin/openssl
ea2a858ab594905beb8088c7c2b84748  /usr/bin/openssl

इस तरह की चीजों के साथ खेलने के साथ, आप बेहतर हैं अगर आप बेहतर हैं संस्करण संख्या पर भरोसा मत करो।


18
2018-04-08 20:52



यह स्पष्ट है कि संस्करणों की जांच करना उतना आसान और पारदर्शी नहीं है जितना कि मुझे उम्मीद थी कि यह होगा। भेद्यता की जांच करना क्रॉस-प्लेटफार्म है, लेकिन यह करना भी मुश्किल है: आपके पास चल रहे विशेष कमजोर सॉफ़्टवेयर सेवा के लिए विश्वसनीय पीओसी या परीक्षण आसान होना चाहिए। इस मामले में यह सब अपाचे और nginx के लिए एक पीओसी के साथ शुरू किया। क्या होगा यदि मैं उस समय एसएसटीपी के साथ एसएमटीपी का उपयोग कर रहा था, और मैं जांचना चाहता था कि मैं कमजोर हूं या नहीं? आखिरकार हमारे पास ज्यादातर सेवाओं के लिए परीक्षण होंगे, लेकिन इसमें कुछ समय लग सकता है। - Martijn
मार्टिजन, यह एक उचित बिंदु है। जब कोई परीक्षण उपलब्ध नहीं होता है, तो माध्यमिक तरीकों (जैसे कि आपके लक्षित सिस्टम पर प्रभावित बाइनरी के लिए चेकसम को ट्रैक करना) कम इष्टतम है, लेकिन काम पूरा करने के लिए पर्याप्त हो सकता है ... और फिर अगली आग पर जाएं। :-) - Royce Williams


दुर्भाग्य से, मुझे यकीन नहीं है है ऐसा करने का एक क्रॉस-प्लेटफार्म तरीका। जैसा कि मैंने ब्लॉग पोस्टिंग में चर्चा की है, ओपनएसएसएल का संस्करण एक निश्चित संस्करण में अपग्रेड करने के बाद उबंटू 12.04 रिमेंस 1.0.1 पर प्रदर्शित हुआ।

उबंटू 12.04 के लिए, आप बता सकते हैं कि क्या आपको अपडेट किया गया है यदि नीचे दिए गए सभी सत्य हैं:

  1. dpkg -s openssl | grep Versionसंस्करण 1.0.1-4ubuntu5.12 या बाद में दिखाता है।
  2. dpkg -s libssl1.0.0 | grep Versionसंस्करण 1.0.1-4ubuntu5.12 या बाद में दिखाता है।
  3. openssl version -a 7 अप्रैल, 2014 या बाद में "निर्मित" तिथि दिखाता है।

अतिरिक्त जानकारी के लिए @ डैनी के लिए धन्यवाद।


14
2018-04-08 03:15



ठीक है, उस मामले में मुझे उस पैकेज संस्करण को जोड़ना होगा 1.0.1-4ubuntu5.12 केवल उबंटू 12.04 एलटीएस के लिए है। यदि आप उबंटू 12.10 पर हैं तो आपको कम से कम संस्करण देखना चाहिए 1.0.1c-3ubuntu2.7और यदि आप 13.10 पर हैं तो यह कम से कम संस्करण होना चाहिए 1.0.1e-3ubuntu1.2स्रोत के अनुसार: ubuntu.com/usn/usn-2165-1 - Martijn
यह दुर्भाग्य से अपर्याप्त है। आप जरूर अपग्रेड भी करें libssl1.0.0 स्पष्ट रूप से उबंटू पर। यदि आप 7 अप्रैल 2014 से पहले एक निर्मित तिथि देख रहे हैं, भले ही ओपनएसएल संस्करण सही दिखता है (1.0.1-4ubuntu5.12 उबंटू 12.04 के लिए) आप शायद अभी भी कमजोर हैं। - danny
@ डैनी तुमने मुझे इतना काम बचाया। मैं यह पता लगाने की कोशिश कर रहा था कि निर्माण की तारीख कुछ 12.04 प्रणालियों पर क्यों सही थी और दूसरों पर गलत थी। तुम एक lifesaver हो! - Schof
openssl version -a शायद 7 अप्रैल की बिल्डिंग तिथि की आवश्यकता नहीं है, क्योंकि फिक्स को पुरानी रिलीज में बैकपोर्ट किया जा रहा है। - Patrick James McDougle


निम्नलिखित कोशिश करें। यह सभी तारों से निकालेगा क्रिप्टो पुस्तकालय जो एसएसएच के खिलाफ जुड़ा हुआ है। यह उत्पादन की एक से अधिक पंक्तियां उत्पन्न करता है, लेकिन यदि आवश्यक हो तो 1 लाइन में परिवर्तित किया जा सकता है।

ldd `which ssh` | awk '/\// { print $3 }' | grep crypto | xargs strings  | grep OpenSSL

पैदा करता है

OpenSSLDie
DSA_OpenSSL
...
MD4 part of OpenSSL 1.0.1f 6 Jan 2014 
MD5 part of OpenSSL 1.0.1f 6 Jan 2014
... 
etc

जैसे उभरने से पहले Gentoo पर

[ebuild     U  ] dev-libs/openssl-1.0.1f [1.0.1c] USE="bindist (sse2) tls-heartbeat%* zlib -gmp -kerberos -rfc3779 -static-libs {-test} -vanilla" 4,404 kB

उपर्युक्त आदेश में परिणाम

...
OpenSSL 1.0.1c 10 May 2012

बाद

...
OpenSSL 1.0.1f 6 Jan 2014

ओह, अभी भी कोई जी नहीं।


4
2018-04-08 14:45



मैंने सोचा कि आप एक अच्छा समाधान प्रदान करने के बहुत करीब थे, लेकिन दुर्भाग्य से यह उबंटू 12.04 एलटीएस पर क्रिप्टो लाइब्रेरी के लिए काम नहीं करता है। यह संस्करण के साथ सभी तारों को प्रदर्शित करता है [...] part of OpenSSL 1.0.1 14 Mar 2012, ठीक उसी प्रकार जैसे openssl version -a कर देता है। यह एक चाल है जो अन्य मामलों में काम कर सकती है हालांकि! - Martijn
@ मार्टिजन अच्छा यह दुर्भाग्यपूर्ण है, लेकिन यह उबंटू 12.10 पर काम करता है। अजीब बात यह है कि यह 12.04 को खुद को गलत पहचान लेगा। क्या कई libs हैं? क्या यह संभव है कि एसएसएच सबसे अद्यतित उपयोग नहीं करता है? - waTeim
मैं किसी भी अन्य openssl बाइनरी या क्रिप्टो पुस्तकालयों को खोजने में असमर्थ था। दूसरों द्वारा यह सुझाव दिया जाता है कि अंतर यह है कि, 12.04 एलटीएस पर, उबंटू संस्करण को अपनाने के बिना 1.0.1 में परिवर्तनों का समर्थन कर रहा है। जबकि 12.10 एक एलटीएस नहीं है और इसलिए उबंटू बैकपोर्ट के बजाय वहां नवीनतम संस्करण का उपयोग करता है। - Martijn


इनमें से कोई भी स्क्रिप्ट सभी सेवाओं का परीक्षण करती है, या वे केवल परीक्षण करते हैं HTTPS? AFAIK, PostgreSQL कमजोर है, लेकिन यह केवल एक अफवाह है जब तक कि जंगली हमले की सतहें न हों।

वहां एक है Metasploit उपयोग के लिए उपलब्ध स्क्रिप्ट।

https://github.com/rapid7/metasploit-framework/commit/dd69a9e5dd321915e07d8e3dc8fe60d3c54f551a

आप इसे टाइप कर सकते हैं (परीक्षण किया गया GnuWin32 ओपनएसएसएल बाइनरी संस्करण 1.0.1.6, दिनांक 2014-01-14), या बस इस के नीचे टिप्पणी में लिपि का उपयोग करें। यह अधिक सटीक और सरल है!

s_client -connect a23-75-248-141.deploy.static.akamaitechnologies.com:443 -debug -state

एक बार कनेक्ट प्रकार बी और आप एक कमजोर मेजबान पर देखेंगे और आप डिस्कनेक्ट नहीं होंगे:

B

HEARTBEATING
write to 0x801c17160 [0x801cbc003] (66 bytes => 66 (0x42))
0000 - 18 03 03 00 3d 8f 6f 3c-52 11 83 20 9c a2 c0 49   ....=.o 5 (0x5))
0000 - 18 03 03 00 3d                                    ....=
read from 0x801c17160 [0x801cb7008] (61 bytes => 61 (0x3D))
0000 - 05 4d f5 c0 db 96 d1 f5-c7 07 e5 17 1f 3b 48 34   .M...........;H4
0010 - 6e 11 9d ba 10 0c 3a 34-eb 7b a5 7c c4 b6 c0 c0   n.....:4.{.|....
0020 - b0 75 0e fe b7 fa 9e 04-e9 4e 4a 7d 51 d3 11 1f   .u.......NJ}Q...
0030 - e2 23 16 77 cb a6 e1 8e-77 84 2b f8 7f            .#.w....w.+..
read R BLOCK

आपको एक दिल की धड़कन प्रतिक्रिया मिलेगी जो इस तरह दिखती है।

एक पैच किए गए होस्ट पर, आपको नीचे की तरह एक प्रतिक्रिया दिखाई देगी और आप डिस्कनेक्ट हो जाएंगे:

बी दर्ज करें

HEARTBEATING
write to 0x801818160 [0x8019d5803] (101 bytes => 101 (0x65))
0000 - 18 03 03 00 60 9c a3 1e-fc 3b 3f 1f 0e 3a fe 4c   ....`....;?..:.L
0010 - a9 33 08 cc 3d 43 54 75-44 7d 2c 7b f3 47 b9 56   .3..=CTuD},{.G.V
0020 - 89 37 c1 43 1c 80 7b 87-66 ff cb 55 5f 8d 1a 95   .7.C..{.f..U_...
0030 - 1b 4c 65 14 21 a1 95 ac-7a 70 79 fc cc a0 cf 51   .Le.!...zpy....Q
0040 - 0f 7e c5 56 14 c8 37 c1-40 0b b8 cb 43 96 8a e6   .~.V..7.@...C...
0050 - 21 42 64 58 62 15 fb 51-82 e6 7f ef 21 1b 6f 87   !BdXb..Q....!.o.
0060 - b9 c2 04 c8 47                                    ....G

स्रोत:

इन उपकरणों को भी है:


2
2018-04-09 11:43





उबंटू के लिए आप इसका उपयोग कर सकते हैं:

aptitude show libssl1.0.0 | grep Version

और तुलना करें http://www.ubuntu.com/usn/usn-2165-1/। रीबूट के बाद (!!!) आप जांच सकते हैं http://possible.lv/tools/hb


0
2018-04-08 11:14





आप बेहतर ओपनएसएसएल ओपनएसएसएल 1.0.1j में बेहतर अपग्रेड करेंगे।

http://blog.vincosolution.com/2014/10/upgrade-openssl-1-0-1j-debianubuntu.html


0
2017-10-19 01:57





मुझे मिला इस स्क्रिप्ट devcentral में:

openssl s_client -connect example.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

बदलने के example.com उस सर्वर के नाम या आईपी पते के साथ आप जांचना चाहते हैं।

वापस होगा "safe" अगर आपका सर्वर ठीक है या "server extension "heartbeat" (id=15)" अगर नहीं।

यह संस्करण संख्या पर भरोसा नहीं करता है, लेकिन सर्वर एक्सटेंशन को सूचीबद्ध करने पर जो समस्या का कारण बनता है, इसलिए यह पुस्तकालय संस्करण शेंगेनियों के प्रति प्रतिरक्षा होना चाहिए।

मशीन जो आप चल रहे हैं openssl s_client पर जरूर काम करने के लिए ओपनएसएसएल 1.0.1 या बाद में उपयोग कर रहे हैं।


0
2018-04-08 09:12



उपयोगी, लेकिन आपको यह नहीं बताता कि आपके पास एक्सटेंशन वाला संस्करण है या नहीं और फिक्स। - mattdm
भेद्यता की जांच करने के लिए यह वास्तव में एक अच्छा तरीका है और कुछ स्क्रिप्ट क्या करती हैं। इसे वास्तव में एसएसएच एक्सेस की आवश्यकता नहीं है। - Stefan Lasiewski
बड़ी चेतावनी महत्वपूर्ण चेतावनी - आप जिस मशीन को चला रहे हैं openssl s_client काम करने के लिए ओपनएसएसएल 1.0.1 या बाद में उपयोग करना होगा। यदि आप इस आदेश को मशीन पर 0.9.8 या 1.0.0 के साथ चलाते हैं यह हमेशा कमजोर सर्वरों के लिए भी "सुरक्षित" रिपोर्ट करेगा। - voretaq7
अजीब। मैं OpenSSL का एक संस्करण चला रहा हूं जो इस बग से माना जाता है, फिर भी यह स्ट्रिंग आउटपुट में प्रकट नहीं होती है ... - Michael
@StefanLasiewski मैंने अपना जवाब अपडेट किया और "जरूरत एसएसएच" भाग हटा दिया - egarcia