問題タブ [heartbleed-bug]

サーバーをアップグレードし、cpanel / dovecot / ssh キーを再生成しました。お客様も CSR および SSL 証明書を再生成する必要がありますか?

この側面に関する情報は見たことがありません。

ありがとう

JBoss アプリケーションがheartbleedセキュリティ バグに対して脆弱かどうかを判断する最良の方法を知っている人はいますか?

JBoss バージョン 4.0.4 および 5.1.0 を使用しています。

Load Balancer で SSL 接続を終了しない Elastic Load Balancer を AWS に持っています。Amazon が ELB サービスにパッチを適用する前に、私の接続は HeartBleed バグに対して脆弱でしたか?

私の理解では、ロード バランサーで SSL を終了した接続のみが影響を受けたということです。誰でもこれを確認できますか？

最近の OpenSSL バグに関して、ユーザー空間アプリが mmap 経由で他のプロセス メモリを読み取ることは可能ですか? これは、 http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.htmlにあるバグの説明を参照しています。

memcpy を介してメモリを読み取るという上記の記事の懸念 (パケット長で提供されたものに基づいてメモリをコピーするため) は有効であると思います。パケットを生成したユーザーに戻ります。

GlassFish 3 は暗号化に OpenSSL を使用しますか? 当社のセキュリティ スタッフは、Heartbleed の脆弱性を懸念しています。

走ったapt-get install openssl

新しいバージョンの .1g がインストールされていることを確認

ただし、新しいopensslがインストールされていても、完全に実行しない限り、サーバーは依然として脆弱であることに気付きましたapt-get upgrade

ここを参照してください: http://filippo.io/Heartbleed/#www.uat.phantomjscloud.com

完全な apt-get アップグレードを回避し、新しい openssl が使用されていることを確認するにはどうすればよいですか?

参考までに、これを行うとハートブリードが修正されることを確認し apt-get upgradeました（実稼働サーバーでそれを行いました）が、なぜopensslを更新しても十分ではないのか知りたいです。

参考までにnginxを使用しています。その後も行いapt-get install nginxましたが、それでも問題は解決しませんでした

更新: 実行中は、再起動後も1.0.1fopenssl version -aがまだアクティブであることを示しています。

Sybase OCS-15.0 には、OpenSSL を使用する certreq、certauth などのユーティリティがいくつかあると思います。CVE-2014-0160 はこれらのコンポーネントに影響しますか?