[分享] OpenSSL 嚴重安全性問題 Heartbleed

看板Linux作者時間10年前 (2014/04/08 12:32), 編輯推噓13(13029)
留言42則, 19人參與, 最新討論串1/1
嚴重到有專屬網站 囧 http://heartbleed.com/ 確認中槍的 distro Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 CentOS 6.5, OpenSSL 1.0.1e-15 Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c) NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) 安全的 Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14 SUSE Linux Enterprise Server -- My Blog http://rueiyuanlu.blogspot.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.32.152 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1396931536.A.922.html
04/08 13:24, , 1F
怎麼感覺最近常常聽到unix出這種包 冏
04/08 13:24, 1F
04/08 13:58, , 2F
好可怕 -.- 立刻更新
04/08 13:58, 2F
04/08 14:48, , 3F
難怪今天上完課回來打開就看到更新....
04/08 14:48, 3F
04/08 14:52, , 4F
archlinux呢OAO
04/08 14:52, 4F
04/08 14:58, , 5F
1.0.1.f 到底有沒有Orz
04/08 14:58, 5F
04/08 15:14, , 7F
官方說有,不過實際上看 distro 有沒有開 heartbeat
04/08 15:14, 7F
04/08 15:19, , 8F
所以debian testing還得回去確認一下Orz
04/08 15:19, 8F
04/08 15:19, , 9F
剛剛看是1.0.1f
04/08 15:19, 9F
04/08 15:28, , 10F
04/08 15:28, 10F
04/08 15:33, , 11F
這種怪包我之前看到時第一個想法是NSA高手放進去的,裝成像
04/08 15:33, 11F
04/08 15:33, , 12F
不小心寫錯的code,沒辦法,這包腫很大,很難不往這裏想
04/08 15:33, 12F
04/08 15:35, , 13F
謝啦,回去吃sid了
04/08 15:35, 13F
04/08 16:48, , 14F
Arch 今天終於升到 1.0.1g ,請更新吧
04/08 16:48, 14F
04/08 22:50, , 15F
04/08 22:50, 15F
04/08 23:19, , 16F
MGA 4 今天剛剛修好
04/08 23:19, 16F
04/09 00:13, , 17F
openSUSE 13.1 不在名單裡面? 剛剛收到更新ㄟ...@@
04/09 00:13, 17F
04/09 00:17, , 18F
又,隔壁OS X自帶的0.9.8y看起來應該是安全的,只是很老舊
04/09 00:17, 18F
04/09 01:01, , 19F
名單僅供參考用 XD wheezy 也已經有 security update 了
04/09 01:01, 19F
04/09 02:46, , 20F
幹,中標了。
04/09 02:46, 20F
04/09 07:54, , 21F
樓上XD
04/09 07:54, 21F
04/09 12:52, , 22F
樓樓上XDDD
04/09 12:52, 22F
04/09 13:03, , 23F
wheezy今天又更新
04/09 13:03, 23F
04/12 06:30, , 24F
push
04/12 06:30, 24F
04/12 08:14, , 25F
Diffie-Hellman key exchange 還是有必要...
04/12 08:14, 25F
04/12 09:16, , 26F
真的有媒體報 NSA 兩年前已知 bug 存在而且加以利用
04/12 09:16, 26F
04/12 09:17, , 27F
雖然說 NSA 也發了稿否認啦
04/12 09:17, 27F
04/12 13:26, , 28F
#1JI89WVp (Gossiping) 中時新聞能信?
04/12 13:26, 28F
04/12 13:27, , 29F
說是德國程式設計師寫的;NSA說看報才知漏洞
04/12 13:27, 29F
04/12 14:51, , 30F
上個月不也有TLS的goto寫錯,會不會是ios爆炸後大家開始review
04/12 14:51, 30F
04/12 20:42, , 31F
kdjf 這不是協定的問題好嗎...
04/12 20:42, 31F
04/12 20:51, , 33F
Redhat說它自家的website不用openssl,該不會早就防著NSA?
04/12 20:51, 33F
04/12 21:26, , 34F
應該不是不用openssl,應該是他們用的版本不是有bug的那些
04/12 21:26, 34F
04/13 06:23, , 35F
RHEL體系都還是openssl1.0 Heartbleed是1.0.1之後
04/13 06:23, 35F
04/13 18:09, , 36F
我再看了一遍,應該是樓上2位說的,之前看太快誤解意思,再加
04/13 18:09, 36F
04/13 18:10, , 37F
上快十年沒有Redhat家產品
04/13 18:10, 37F
04/13 19:58, , 38F
別說1.0了 現在也不少機器是用0.9.8呢www
04/13 19:58, 38F
04/13 22:48, , 39F
RH系的套件更版就只有慢而已,平常只會覺得麻煩,要手動
04/13 22:48, 39F
04/13 22:49, , 40F
找新版來換,難得爆炸的時候就會覺得穩定的舊版也不錯..XD
04/13 22:49, 40F
04/14 00:07, , 41F
要追新版本來就不該用RH系啊...
04/14 00:07, 41F
04/14 00:07, , 42F
像Arch之類的多美好啊(笑
04/14 00:07, 42F
更多 Bencrie 的文章
文章代碼(AID): #1JGtlGaY (Linux)