שאלה Heartbleed: מה זה ומה האפשרויות כדי להקל על זה?


זה קנוניקל שאלה על הבנה ו remediating את heartbleed בעיה ביטחונית.

מה בדיוק הוא CVE-2014-0160 AKA "Heartbleed"? מה הסיבה, מה OSs וגרסאות של OpenSSL הם פגיעים, מה הם הסימפטומים, האם יש שיטות כדי לזהות ניצול מוצלח?

כיצד ניתן לבדוק אם המערכת שלי מושפעת? כיצד ניתן להפחית את הפגיעות? האם עלי להיות מודאגים שהמפתחות שלי או נתונים פרטיים אחרים נפגעו? אילו תופעות לוואי אחרות אני צריך להיות מודאג?


204
2018-04-08 00:26




הקלות עבור heartbleed כרוך יותר מאשר רק מפתחות חדשים. (קישור לתשובה שלי על מידע אבטחה StackExchange) - scuzzy-delta
אני שומע אותך, אבל אני חושב EEAA די מקיף מכוסה מתחת. - MadHatter
אני מסכים: זו תשובה מצוינת, אבל הלב הולך למאמץ גדול להצביע על כך שיש שיקולים מעבר לזוגות מפתח חדשים בלבד - כמו לאלץ שינויים בסיסמאות וביטול הפעלה. - scuzzy-delta
@ scuzzy-delta - נקודה טובה. עשיתי את התשובה שלי CW עכשיו, אז אתה מוזמן לערוך / לשפר את זה עם מידע זה. - EEAA
הדוגמה הטובה ביותר על מה זה - (לא מפתיע) XKCD: xkcd.com/1354 - Wayne Werner


תשובות:


ראשון, לפני freaking החוצה, כדי להיות בטוח שאתה מבין אם זה באמת פגיעות חל עליך. אם יש לך שרת, אבל מעולם לא היו למעשה כל יישומים באמצעות TLS, אז זה לא דבר בעדיפות גבוהה בשבילך כדי לתקן. אם, לעומת זאת, אתה היו אי פעם TLS מאופשר יישומים, גם אז אתה עבור לטפל. תמשיך לקרוא:

מה בדיוק הוא CVE-2014-0160 aka "heartbleed"?

זה בלגן גדול, זה מה שהוא. בקיצור, פגיעות מנצלת מרחוק נתגלתה בגרסאות OpenSSL 1.0.1 עד 1.0.1f שדרכה יכול התוקף לקרוא חלקים מסוימים של זיכרון המערכת. אלה חלקים להיות אשר מחזיקים נתונים רגישים כגון מפתחות פרטיים, מראש מפתחות, סיסמאות ונתונים עסקיים מוערך גבוה בין היתר.

הבאג התגלה באופן עצמאי על ידי ניל מהטה מאבטחת גוגל (21 במרץ 2014) ו- Finnish IT Security Company Codenomicon (2 באפריל 2014).

מה הסיבה?

ובכן, קוד תועה ב- OpenSSL. כאן הוא להתחייב כי הציג את הפגיעות, ו כאן הוא המחייב שתיקן את הפגיעות. הבאג הופיע בדצמבר 2011 ו תוקן היום, 7 אפריל, 2014.

באג יכול גם לראות סימפטום של בעיה גדולה יותר. שתי הבעיות הקשורות הן (1) מה התהליך נמצאים כדי להבטיח קוד תועה אינו מוצג על בסיס קוד, ו (2) מדוע הפרוטוקולים והרחבות מורכבים כל כך קשה לבדוק. פריט (1) הוא נושא של ניהול ותהליך עם OpenSSL ופרויקטים רבים אחרים. מפתחים רבים פשוט להתנגד שיטות כגון ביקורות קוד, ניתוח וסריקה. פריט (2) נידון על WLS של IETF WG. ראה המורכבות heartbleed / פרוטוקול.

האם הקוד התועה הוכנס בזדון?

אני לא אעשה השערות אם זה באמת היה טעות או אולי קצת קוד החליק בשמו של שחקן רע. עם זאת, האדם שפיתח את הקוד עבור OpenSSL קובע שזה היה לא מכוון. ראה אדם שהכניס ליקוי חמור של "Heartbleed" אבטחה מכחיש שהוא הכניס אותו בכוונה.

אילו מערכות הפעלה וגירסאות של OpenSSL חשופות לפגיעות?

כפי שצוין לעיל, כל מערכת הפעלה המשתמשת ביישום OpenSSL 1.0.1 עד 1.0.1f, או היישום המקושר אליו.

מה הם הסימפטומים, האם כל שיטות כדי לזהות לנצל בהצלחה?

זה החלק המפחיד. למיטב ידיעתנו, אין דרך ידועה לזהות האם פגיעות זו נוצלה. זה אפשרי תיאורטית כי חתימות IDS ישוחרר בקרוב כי יכול לזהות את זה לנצל, אבל נכון לכתיבה זו, אלה אינם זמינים.

ישנן עדויות כי Heartbleed היה מנוצל באופן פעיל בטבע כבר בנובמבר, 2013. ראה EFF של Wild at Heart: האם סוכנויות המודיעין באמצעות Heartbleed בנובמבר 2013? ובבלומברג מדווח כי ה- NSA ניצל את הניצול זמן קצר לאחר הופעת הפגיעות. ראה NSA אמר לנצל את Heartbleed באג עבור המודיעין במשך שנים. עם זאת, קהילת המודיעין של ארה"ב מכחישה את טענותיה של בלומברג. ראה IC על הרשומה.

כיצד ניתן לבדוק אם המערכת שלי מושפעת?

אם אתה שומר על OpenSSL על המערכת שלך, אז אתה יכול פשוט בעיה openssl versionYou

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

אם ההפצה היא שמירה על OpenSSL, אז אתה כנראה לא יכול לקבוע את הגירסה של OpenSSL עקב תיקון בחזרה באמצעות openssl הפקודה או מידע החבילה (לדוגמה, apt-get, dpkg, yum או rpm). תהליך התיקון האחורי המשמש את רוב ההפצות (הכל?) משתמש רק במספר הגרסה הבסיסית (לדוגמה, "1.0.1e"); ועושה לא כוללים גירסת אבטחה יעילה (לדוגמה, "1.0.1g").

יש שאלה פתוחה על משתמש סופר כדי לקבוע את גירסת האבטחה יעיל עבור OpenSSL וחבילות אחרות כאשר החבילות backpatched. למרבה הצער, אין תשובות שימושיות (מלבד לבדוק את אתר האינטרנט של distro). ראה קביעת גרסת אבטחה אפקטיבית כאשר מתמודדים עם Backpatching?

ככלל: אם התקנת פעם את אחת הגירסאות המושפעות, ויש לך אי פעם תוכניות או שירותים המקושרים נגד OpenSSL לתמיכה TLS, אז אתה פגיע.

היכן ניתן למצוא תוכנית לבדיקת הפגיעות?

בתוך שעות ספורות מהודעת ה- Heartbleed, מספר אנשים באינטרנט פרסמו יישומי אינטרנט נגישים לציבור, שכפי הנראה שימשו לבדיקת שרת עבור נוכחות של פגיעות זו. נכון לכתיבה זו, לא סקרתי אף אחד, ולכן אני לא יפרסם עוד את היישומים שלהם. הם יכולים להימצא בקלות יחסית בעזרת מנוע החיפוש המועדף עליך.

כיצד פחתה הפגיעות?

שדרג לגרסה שאינה פגיעה, ולאפס או לאמת מחדש נתונים פגיעים. כפי שצוין על לבבי באתר, שלבי התגובה המתאימים הם:

  1. תיקון מערכות פגיעות.
  2. לחדש מפתחות פרטיים חדשים.
  3. שלח CSR חדש לעמ 'CA שלך.
  4. השג והתקן אישור חדש חתום.
  5. ביטול מקשי הפעלה ועוגיות
  6. איפוס סיסמאות וסודות משותפים
  7. בטל אישורים ישנים.

לניתוח מפורט יותר ותשובה, ראה מה צריך מפעיל האתר לעשות על OpenSSL Heartbleed לנצל?על שערי מחסנית הביטחון.

אני צריך להיות מודאג כי המפתחות שלי או נתונים פרטיים אחרים היו   נפגעת? אילו תופעות לוואי אחרות אני צריך להיות מודאג?

בהחלט. מנהלי מערכות צריכים להניח כי השרתים שלהם אשר משתמשים בגרסאות OpenSSL פגיעות אכן נפגעות ומגיבים בהתאם.

זמן קצר לאחר שנחשפה הפגיעות, קלארפאר הציעה אתגר לראות אם ניתן לשחזר את המפתח הפרטי של השרת בפועל. האתגר זכה באופן עצמאי על ידי פדור אינדוטני ואילקה מטילה. ראה אתגר heartbleed.

היכן ניתן למצוא מידע נוסף?

קישור dump, עבור אלה המחפשים פרטים נוספים:


ניתן למצוא לוח זמנים מפורט למדי של אירועי הגילוי גילוי ציר לב: מי ידע מה ומתי.


אם אתה מתכנת ומעוניינים טריקים תכנות שונים כמו גילוי התקף heartbleed דרך OpenSSL של msg_cb callback, ולאחר מכן לראות OpenSSL של יועץ אבטחה 2014047.


118
2018-04-08 04:23



+1 עבור שתוק. מטה. שלך. שרתים. * - אם אתה עושה כל דבר שבו SSL הוא באמת חשוב, לסגור אותו עד שתפתור את הבעיה. כמו כן אל תשכח להתקין אישורים חדשים (עם מפתחות חדשים) לאחר תיקון השרתים שלך - שימוש חוזר המפתחות הישנים שלך (אשר עשויים להיות בסכנה) מביס את כל המטרה של תיקון התוקפנות ... - voretaq7
גם - הפעל מחדש את כל השירותים המקשרים לספריות OpenSSL. שדרוג OpenSSL ללא הפעלה מחדש של הדמונים שלך הוא טוב כמו לא לשדרג בכלל. - EEAA
ואכן - אחרי כל סוג של תיקון גדול (כמו OpenSSL) אני רואה את זה כלל טוב רק כדי לאתחל את המכונה כדי לוודא שאתה לא לפספס שום דבר. - voretaq7
אחד הבוחנים כבר פתוח מקורות: github.com/FiloSottile/Heartbleed - Riking
@EEAA, "כיבוי השרתים שלך" לא אומר שאתה צריך למשוך את הכוח. זה אומר לסגור (או להגדיר מחדש כדי להשבית ssl / tls) אפאצ 'י, או מה השירות עושה את המשרתים. - psusi


הסבר פשוט של הבאג, על ידי XKCD:

XKCD 1354


42
2018-04-08 07:28





אובונטו 12.04, 12.10 ו -13.10

אובונטו פרסמה USN-2165-1, הקובע כי חבילות מעודכנות זמינות כעת בארכיון. הפעל את שתי הפקודות הבאות כדי לתפוס את התיקון.

sudo apt-get update
sudo apt-get upgrade

אובונטו 14.04

טענתי חבילת Debian המכילה את המהדורה החדשה (1.0.1g) ל- PPA שהגדרתי למטרה זו. שלושת הפקודות האלה יוסיפו את ה- PPA שלי למערכת שלך, יעדכן את רשימת החבילות הזמינות ושדרג את הכל:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

הערה: ה- PPA מספק גם חבילות עבור Ubuntu 12.04 ו- 13.10, רק אם אתה מעדיף להפעיל את הגרסה החדשה (1.0.1g) במקום להשתמש בגרסאות המטולאות בארכיון בלבד.

אובונטו 10.04

זוהי גירסת LTS, גירסת השרת עדיין נתמכת ומקבלת עדכוני אבטחה. אבל הפגיעות הלבבית לא השפיעה על החבילה הפתוחה של התקנה סטנדרטית של אובונטו 10.04, משום שהגרסה נמצאת מתחת ל 1.0.1.

גירסת שולחן העבודה הגיעה לסוף החיים וצריך לשדרג / להתקין מחדש.

Ubuntu 13.04 וגרסאות מיושנות אחרות

לאובונטו 13.04 היה מחזור תמיכה קצר מאוד, שאי אפשר לצפות לו. זה כבר הגיע סוף החיים כבר לא מקבל עדכוני אבטחה יותר. זה צריך זמן להיות משודרגים. אם עדיין מישהו משתמש בו, בבקשה לשדרג עכשיו, או מאפס או שזה יכול להיות משודרג לא הרסנית כדי 13.10 בעקבות הליך זה קל: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ לאחר השדרוג המערכת מקבלת את התיקון הדביק מ 13.10.

עבור כל גירסאות אובונטו מיושנות אחרות זה אומר בעצם התקנה טרי יש צורך.

ודא שהתיקון הוחל

בעיקרו של דבר, לרוץ openssl version -a ולוודא שתאריך הבנייה הוא 7 באפריל 2014 ואילך, אך ראה עוד כאן.

אתחל מחדש

הדרך הטובה ביותר לוודא את כל השירותים בהתאם OpenSSL מחדש הם אתחול מחדש.


36
2018-04-08 10:37



אני לא יכול לדבר עבור גירסאות אחרות, אבל נראה שיש תיקון זמין עבור מדויק (12.04). אמנם אני לא יכול לומר בוודאות כי זה פותר את הפגיעות, זה היה לפחות מלוקט לאחר הרלוונטי להתחייב (Mon Apr 7 20:31:55 UTC 2014). - Calrion
@ Calrion: תיקון ל- OpenSSL או לאריזת Debian עבור OpenSSL? OpenSSL כבר תוקן ושוחרר מהדורה חדשה. - Nathan Osman
מה יקרה לקשרים הקיימים בעת פתיחת האתר? האם יופלו? - pdeva
זה תלוי באיזה שרת אינטרנט אתה משתמש וכיצד אתה מעדכן. עם זאת, לא הייתי מודאג לגבי הפלת קשרים קיימים מאז שהם משתמשים בגירסה הפגיעה. - Nathan Osman
14.04 קיבל מאז תיקון. - Seth


RedHat 6.5 ו CentOS 6.5

אלה פגיעים. RedHat של טעות RHSA-2014-0376 אומר שיש ספריות טלאים זמין, וכל מי שנפגע צריך לשדרג בהקדם האפשרי.

בזמן הכתיבה, CentOS עדיין לא היתה גרסה קבועה, אבל פרסומת של קרנביר סינג ל- CentOS- הכרזה אומר כי הם הפיקו גרסה מעודכנת של openssl (openssl-1.0.1e-16.el6_5.4.0.1, לציין את ארבע הספרות האחרונות שחשובים), כי יש את הפקודה TLS מנוטרל מושבת, וזה יכול להיות מוחל בבטחה כפי שהוא יהיה מוחלף על ידי גרסה קבועה כאשר הוא שוחרר בסופו של דבר.

את הגירסה הקבועה זמני לא נראה עשה את זה על כל המראות עדיין, אבל הוא במאגר הראשי ב http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (וגם עבור i686).

ערוך: כפי שאני אומר, שם נראה עכשיו להיות גרסה מלא טלאים עבור C6.5, ונראה כי נדחפו סביב המראות ממהר. ישר yum update יש את זה עבור השרתים שלי; זה openssl-1.0.1e-16.el6_5.7.

גרסאות של RH6 ו- C6 לפני 6.5

אלה אינם פגיעים. לפי זה יועץ מ Red Hat,

בעיה זו לא השפיעה על גרסאות opensl כפי שנשלחו עם אדום   האט Enterprise Linux 5 ו Red Hat Enterprise 6.4 ו קודם לכן.

פרסומת של קרנביר סינג ל- CentOS- הכרזה ברור באותה מידה לגבי גרסאות:

מוקדם יותר היום, היינו מודעים רצינית   בעיה ב- openssl כפי שנשלח ב CentOS-6.5


14
2018-04-08 13:07



לא lists.centos.org/pipermail/centos-announce/2014-April/... שחרור התיקון? - Iain


דביאן וויזי

דביאן איבדה DSA-2896-1 ו ספריות טלאים הם זמין פה. תסריט פגז הוא זמין פה.

1. תיקון

מאגר Apt-get עודכן ולכן ספריות תוקנו כעת דרך apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

לחלופין (לא מומלץ) ניתן לשדרג את החבילות באופן ידני:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. הפעל מחדש את השרת / השירותים

לקבלת ההגנה הטובה ביותר להפעיל מחדש את השרת כולו או אם השרת לא יכול להיות במצב לא מקוון ולאחר מכן להפעיל מחדש את השירותים הדרושים.

3. בדוק את גרסת OpenSSL

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



אם אתה מקבל עדכונים מ wheezy/security אז אתה תהיה טוב עם apt-get update && apt-get upgrade. לחלופין, השתמש במנהל חבילה אינטראקטיבית לעדכון החבילות בלבד openssl, libssl1.0.0, libssl1.0.0-dbg ו libssl-dev (כפי שמותקן במערכת שלך). - α CVn
שימוש ב- apt-get אינו פותר את הבעיה עבורי - עדיין מציג את OpenSSL 1.0.1e 11 Feb 2013 - user568829
תודה @ michael-kjorling, זה לא היה זמין כאשר עשיתי את זה, אבל זה בטוח ביותר ואת הדרך הנכונה של שדרוג. - jacksoncage
@ user568829 לאחר החלת התיקון openssl תיקון עדיין יראה OpenSSL 1.0.1e 11 Feb 2013 כמו תיקון נקרא 1.0.1e-2. אתה יכול לבדוק עם dpkg -l openssl וזה צריך להראות גרסה 1.0.1e-2+deb7u6 - jacksoncage
הייתי מציע להפעיל מחדש את המארח לאחר עדכון OpenSSL, לא משום שזה הכרחי אך שקט נפשי כי לפחות כל מה טוען ספריות OpenSSL באופן דינמי משתמש בגירסה החדשה. (קשור מבחינה סטטיסטית הוא עניין אחר.) עם זאת, אני מזהה כי כמה שרתים לא ניתן לאתחל בקלות בכל המצבים שבהם הפעלה מחדש של השירות עשוי להיות מקובל. - α CVn


אני רוצה לציין כי המפתחות הפרטיים אינם הנכסים היחידים שיש להתייחס אליהם כאל סכנה. באג יש פוטנציאל לדלוף כל זיכרון הפועל באותו מרחב כתובת (כלומר, אותו תהליך) כמו OpenSSL. לכן, אם אתה מפעיל תהליך שרת שבו גרסה פגיעה של OpenSSL מקושרת באופן סטטי או דינמי, כל פיסת מידע שתהליך זה טופל אי פעם, כולל סיסמאות, מספרי כרטיסי אשראי ונתונים אישיים אחרים, יש לראות בהם פוטנציאל לפגיעה.


9
2018-04-08 20:23





10.0 או נפתח מנמלים

ה צוות האבטחה פרסמה הודעה בנושא CVE-2014-0160 (aka "heartbleed") ו: FreeBSD-SA-14: 06.openssl

  1. עדכון

    • עדכון FreeBSD באמצעות תיקון בינארי

      מערכות רצות גרסת שחרור של FreeBSD על i386 או amd64 פלטפורמות ניתן לעדכן באמצעות freebsd-update (8) כלי השירות:

      # freebsd-update fetch
      # freebsd-update install
      
    • עדכון FreeBSD ממקורות

      1. הורד את התיקון הרלוונטי מהמיקום למטה, ואמת את חתימה מנותקת PGP באמצעות השירות PGP שלך.

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. בצע את הפקודות הבאות כשורש:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. הידור מחדש של מערכת ההפעלה

        באמצעות עולם ו העולם כמתואר בסעיף מדריך.

  2. עדכן את נפתח יציאה עם גרסה מינימלית 1.0.1_10

  3. הפעל מחדש את כל הדמונים באמצעות הספרייה או אתחל את המערכת

  4. פעל כאילו המערכת שלך נפרצה, פרסם מחדש את כל המפתחות ו / או אישורי ה- SSL שלך ואת המידע שעלול להיות דלף (ראה EEAA תשובה כללית יותר).

FreeBSD 9.x ו FreeBSD 8.x

מערכת זו לא פגיע אל ה לבבי הבעיה כברירת מחדל, בהסתמך על גרסה 0.9.x הישן של נפתח ספריה, אלא אם כן התקנת נפתח  מהנמלים (ראה למעלה).

אם מערכות אלה אינן פגיעות לבבי הבעיה, זה יכול להיות חכם כדי לשדרג את המערכת שלך במקום במוקדם יותר מאשר אחר מקומי (ראה FreeBSD-SA-14: 06.openssl ואת "FreeBSD 10.0" סעיף למעלה):

תוקף מקומי עלול להיות מסוגל לחטוף תהליך חתימה ועשוי להתאושש   מפתח החתימה ממנו. [CVE-2014-0076]

הערהYou

המקורי לבבי הייעוץ רשימות FreeBSD 8.4 ו - 9.1 כמו להיות פגיע פוטנציאלי. זה לא נכון בגלל חוסר פעימות הלב (ברירת המחדל של FreeBSD נפתחת בספריה בגרסה 0.9.x).


9
2018-04-11 08:03





מצאתי את זה ליד בלתי אפשרי לקבוע את הגירסאות של SSL בשימוש על כמה מכשירים אני עובד עם. למרות שזה מבחינה טכנית לא להקל על היכולת מזהה מארחים פגיע כרגע היה בחלק העליון של הרשימה שלי.

אני להרכיב VM קטן כי יבצע בדיקות נגד המארחים שרירותי יציאות באמצעות מודול הבדיקה של FiloSottile. במבט ראשוני נראה שהקוד נשמע.

השחרור של VM הושלמה כאן. זה בפורמט VMX.

מילים של אזהרה

סקריפט זה ו- VM יהיה רק הצג את המצב הנוכחי של המערכות שלך. זה לגמרי אפשרי כי בשלב כלשהו בעבר כי המערכות שלך היו במצב פגיע יכול להיות התעללו.

משהו שמופיע כאן הוא בהחלט עדיפות גבוהה לתקן אבל זה עושה לא להוציא אותך מהקר על החלת עדכונים ושינוי כל המפתחות שלך.


3



אני פשוט קיבלתי דוא"ל מ Snapt, שלהם זה. BOLO (להיות על המשמר) ! - Jacob


אמזון לינוקס (לינוקס הפצה המשמשים אמזון EC2)

https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

סקירה כללית בנושא בעיות: בדיקה חסרת גבולות נמצאה באופן שבו OpenSSL טיפלה בחבילות הרחבת פעימות לב TLS. פגם זה יכול לשמש כדי לחשוף עד 64k של זיכרון מלקוח מחובר או שרת.

גרסאות מושפעות: כל AMI Linux AMI שעליו נפתחת 1.0.1 מותקן, שהוא כל אמזון לינוקס AMI 2013.03 ואילך, וכל AMI Linux AMI ששודרג ל 2013.03 או מאוחר יותר. OpenSSL מותקן כברירת מחדל ב- AMI Linux AMI.

חבילות מושפעות: נפתח

תיקון בעיה: הפעל עדכון yam נפתח כדי לעדכן את המערכת. לאחר החבילה החדשה מותקנת, זה נדרש כי אתה באופן ידני מחדש את כל השירותים המשתמשים opensl, או שאתה לאתחל את המופע שלך. בעוד החבילה החדשה עדיין בשם openssl-1.0.1e, היא מכילה את התיקון עבור CVE-2014-0160.

חבילות חדשות: i686:

openssl-1.0.1e-37.66.amzn1.i686

openssl-static-1.0.1e-37.66.amzn1.i686

openssl-perl-1.0.1e-37.66.amzn1.i686

openssl-devel-1.0.1e-37.66.amzn1.i686

openssl-debuginfo-1.0.1e-37.66.amzn1.i686

x86_64:

openssl-devel-1.0.1e-37.66.amzn1.x86_64

openssl-1.0.1e-37.66.amzn1.x86_64

openssl-debuginfo-1.0.1e-37.66.amzn1.x86_64

openssl-perl-1.0.1e-37.66.amzn1.x86_64

openssl-static-1.0.1e-37.66.amzn1.x86_64

2