openssl门锁安全事件 rpm最新版本(修正漏洞)更新全攻略“弥补你的心”

近日，互联网爆发了被称为“心脏出血”式的严重安全事件。SSL协议是为网络通信提供安全及数据完整性的一种安全协议，也是互联网上最大的“门锁”。而此次曝出的Open SSL漏洞让这个“门锁”形同虚设，可以让攻击者获得服务器内存中的数据内容，甚至导致网络账户与密码、网银资金、电子邮件等重要信息的泄漏! 腾讯相关报道： http://tech.qq.com/a/20140410/015389.htm “心脏出血”漏洞严重危害网站安全






yum源服务已在第一时间更新网站openSSL版本并通过专业检测，但仍建议客户对帐号密码定期修改，避免风险。

Centos 6 系统版本，给出解决方案:
CentOS,默认安装的OpenSSL不在OpenSSL官方公告有安全漏洞的范围里, 默认安装OpenSSL -1.0.0-20.el6_2.5.x86_64（ios最小安装时）
但是如果用户手工升级到1.0.1版本, 有可能升级为有问题的版本。
目前云主机软件源已经同步了修复版本, 可执行yum update openssl更新到最新版。后续将详解。

哪些版本OpenSSL有此严重漏洞？
OpenSSL官方发布的公告, 出现问题的版本是：
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.
上文是官方原文。

怎么确认OpenSSL是否存在漏洞？
命令：rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
当你看到以上信息，证明你已经修复漏洞。在系统上可查看相关信息，表示已经修复了漏洞。





CentOS修复“OpenSSL Heartbleed漏洞”方法，详细解说无此次漏洞升级包：
下面请仔细看看yum源的openssl更新日期，已经是最新的yum RPM发布版本，适用于Centos 6 系列版本。
openssl-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.5M
openssl-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.5M
openssl-devel-1.0.1e-16.el6_5.7.i686.rpm 08-Apr-2014 10:49 1.2M
openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm 08-Apr-2014 10:49 1.2M
yum源下载地址： http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.i686.rpm http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.x86_64.rpm http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.i686.rpm http://mirror.bit.edu.cn/centos/6.5/updates/x86_64/Packages/openssl-devel-1.0.1e-16.el6_5.7.x86_64.rpm
可以先通过wget下载，在无网络环境，可以通过先下载，后安装的方式。
升级方法：命令 yum install openssl
过程会提示是否确认，输入“Y”即可继续升级。
升级后提示：
Setting up Install Process
Package openssl-1.0.1e-16.el6_5.7.x86_64 already installed and latest version
Nothing to do
证明已经是源上的最新版本（08-Apr-2014）。

Ubuntu 系统openssl版本漏洞：
通过检查确认所有云主机中只有ubuntu12.04镜像中的openSSL版本有此漏洞，云主机会尽快更新ubuntu12.04镜像，修复此漏洞。已购买并使用此镜像的用户，通过以下方法对openSSL版本升级。操作步骤如下：
A）登录主机进行安装包更新： apt-get update
B）更新openssl： apt-get install openssl libssl1.0.0 libssl-dev
C）检查主机系统版本：lsb_release -a 正常版本：Ubuntu 12.04.1 LTS
D）检查openssl版本：dpkg -l | grep ssl 对于ubuntu12.04需要更新到1.0.1-4ubuntu5.12

Ubuntu 12.4
ubuntu和centos类似, 默认安装的版本是安全的, 如果有不慎升级到漏洞版本,需要再次升级.
默认版本是libssl1.0.0, 如果升级可以执行
用户可执行
apt-get update
apt-get install libssl1.0.0 或者 apt-get upgrade(这将升级所有已安装的包,谨慎操作)

验证本机安装的版本？
root@jimmyli-ubuntu:/etc/apt# dpkg -l|grep libssl
ii libssl1.0.0 1.0.1-4ubuntu5.12 SSL shared libraries
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12
参考ubuntu官方关于此漏洞的说明（http://www.ubuntu.com/usn/usn-2165-1/）

SuSE系列系统：使用OpenSSL 0.9.8a不存在安全问题.

用户自行编译的版本：例如之前是下载有漏洞的版本tar，gz源码包，编译安装的情况下。
这种情况下, 用户需要根据OpenSSL官方建议, 重新编译.
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

解决方案：重新下载无漏洞的tar，gz源码包，重新编译安装。

罗列各版本的快速方法：
使用ISO安装的Centos默认是安全的,如果用户不慎安装带漏洞的OpenSSL版本,需要自行升级,云主机的下载源已经提供了最新版本的安装包。
各系统升级方法方法如下:
1）SuSE 该机器上的OpenSSL不需要升级。
2）CentOS原生版,6.2/6.3; 默认是安全的,如果安装有带漏洞版本,需要再升级一次到最新版本
yum install openssl
Centos系统确认OpenSSL是否有漏洞的确认方法:
# rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS
以上讯息表示已经修复漏洞

3）Ubuntu12.4 默认是安全的, 如果安装有带漏洞的版本, ,需要再升级一次到最新版本
apt-get update
apt-get install libssl1.0.0
ubuntu系统确认OpenSSL是否存在漏洞的方法:
root@jimmyli-ubuntu:~# dpkg -s libssl1.0.0|grep ^Version
Version: 1.0.1-4ubuntu5.12

Centos系统解决方法二：
yum search openssl
#返回
Updating:
openssl x86_64 1.0.1e-16.el6_5.7 updates 1.5 M
Updating for dependencies:
openssl-devel x86_64 1.0.1e-16.el6_5.7 updates 1.2 M
看起来版本还是比较新的，遂直接
yum install openssl
#然后重启nginx
/etc/init.d/nginx restart
#测试漏洞已修复

OpenSSL终极升级方法：
本来想源码编译安装的，因为以上过程便已修复，就没编译，如果yum方法不行，尝试以下安装：
官方下载：
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz cd openssl-1.0.1g
./config
make && make install
编译安装。
/etc/init.d/nginx restart #重启nginx
完成漏洞修补。

[End]