問題タブ [heartbleed-bug]

Tomcat を Web サーバーとして使用し、SSL に Apache Portable Runtime (APR) と OpenSSL を使用する Windows マシンで TeamCity を実行しています。

OpenSSL のバージョンを 1.0.1g にアップグレードできませんでした。その理由は、Tomcat ネイティブ ライブラリ バイナリ (tcnative-1.dll) ( http://archive.apache.org/dist/tomcat/tomcat -connectors/native/1.1.29/binaries/tomcat-native-1.1.29-win32-bin.zip ) には、APR と OpenSSL のバージョン 1.0.1e の両方が含まれていますが、1.0.1 の新しいバイナリが見つかりません。 g.

Tomcat ネイティブ ライブラリを自分でコンパイルしようとしましたが、「libapr」プロジェクトをコンパイルしようとするとコンパイル エラーが発生します。

私が得るコンパイルエラーは次のとおりです。

Visual Studio Ultimate 2013 でコンパイルしようとしています (おそらく、Visual Studio のバージョンが新しすぎるのでしょうか?)。

この問題を解決するにはどうすればよいですか?

OpenSSL 1.0.1.g を使用して Tomcat ネイティブ ライブラリを正常に構築した人はいますか?

アップデート

「プラットフォーム ツールセット」を v100 に設定し (ここでアドバイスされているようにhttps://groups.google.com/forum/#!topic/UniMRCP/Iybpn51UYnI )、以前のコンパイル エラーはなくなりましたが、新しいエラーが発生しました。

その他のアップデート

私はなんとかコンパイルの問題を解決し、OpenSSL 1.0.1g で tcnative-1.dll をビルドしました。私の TeamCity は、Heartbleed 問題が修正されて稼働しています! 私は今忙しいです。ただし、手順の詳細な説明が必要な場合はお尋ねください。

https://www.rfc-editor.org/rfc/rfc6520では、ハートビート リクエスト/レスポンスの往復にペイロードが含まれる理由が説明されていません。ペイロードの余地があり、応答に要求と同じペイロードが含まれている必要があることを指定するだけです。

このペイロードは何に適していますか? 私の質問は次のとおりです。

• ハートビート要求に任意のペイロードを含めることを可能にするプロトコルを設計したとき、エンジニアは何を考えたのでしょうか? 利点は何ですか？

• このペイロードを応答に含める必要がある理由は何ですか?

任意のペイロードを許可することで、アプリケーションは特定の応答と特定の要求を明確に一致させることができることがわかりました。それが唯一の利点ですか？はいの場合、ペイロードを特定の長さに強制しなかったのはなぜですか? ペイロードの長さの柔軟性は何に適していますか? ハートビート リクエストの長さを予測できないなど、暗号化の概念と関係がありますか?

他の「ハートビート」のようなプロトコル拡張は、正確な要求 (「ping」など) と対応する応答 (「pong」など) を事前に定義するだけです。https://www.rfc-editor.org/rfc/rfc6520が別のルートをたどったのはなぜですか?

これらすべてが巧妙に配置されたバックドアであった可能性があるという仮説を適切に評価するために、RFC6520 で行われた選択の背後にある理由を理解することが重要です。

複数のサブドメイン (de.fr. など) のサポートをすぐに開始する必要があるため、ワイルドカード証明書に変更する必要があります。これもハートブリードバグといいタイミング。

ワイルドカード証明書に変更するには、新しい CSR を作成する必要があります。この新しい証明書を使用すると、ブラウザでユーザーに警告が表示されるのではないかと心配しています。

これを回避する方法はありますか、それとも問題を誤解していますか?

わかりましたので、(ハートブリードバグを回避するために) AWS EC2 サーバーの OpenSSL を v1.0.1c から v1.0.1f に更新しました。ソースからコンパイルしてインストールする必要がありました。サーバーを再起動しました。すべて問題なく動作し、openssl は 2014 年 4 月 7 日にリリースされた最新バージョンを表示しています。それで問題ありませんが、thawte からセキュリティ証明書を取得し、彼らの Web サイトから脆弱性テストを実行すると、ツール、彼らは私がまだ脆弱であると言います。

これは、キーと証明書を再発行して再生成する必要があるということですか? それとも、彼らの側からのキャッシングの問題ですか？

何か案は ？

更新しましたが、古いバージョンが表示されます。

したがって、これら 2 つのコマンドは矛盾する結果をもたらします。

後者は正しいバージョンですが、古い（最初の）バージョンで実行されています。文書化されていない構成はありますか?

カーネルとファームウェアをアップグレードし、再起動して、問題が発生していないことを確認しました..

ハートブリード バグに関するさまざまな話題が飛び交う中、悪用された OpenSSL のハートビート拡張機能が正確に何に使用されているかについての情報を見つけるのは困難です。

-DOPENSSL_NO_HEARTBEATSまた、 @ http://heartbleed.com/で提案されているように、フラグを再コンパイルせずに mod_ssl を使用して Apache に対して無効にすることは可能ですか?

Heroku Rails アプリで SSL 証明書を置き換えようとしています。

SSL 証明書を再発行し、SSL エンドポイントを更新しようとしています。

ただし、次のコマンドを実行すると、このエラーが発生します。

Heartbleed バグに続いて、ruby-lang.org のこの投稿では、脆弱性とアップグレードを確認する方法について説明しています。

これには次のアドバイスが含まれます。

Ruby にリンクする OpenSSL ライブラリのバージョンを確認するには、次を使用します。

現在 Ruby にインストールされている OpenSSL のバージョンを確認するには、次のコマンドを使用します。

これら 2 つのチェックの違いは何ですか? また、どちらかのコマンドから不適切なバージョンが返された場合に推奨されるアクションは何ですか?

CentOS システムの Heartbleed 脆弱性について OpenSSL のバージョンを確認する方法と、手動で更新する手順は何ですか?