問題タブ [heartbleed-bug]

OpenSSL バージョン 1.0.1e を含むポータブル Strawberry Perl バージョン 5.18.1.1 があり、それを 1.0.1g に更新したいと考えています。誰か助けてくれませんか？crypt::ssleay など、このライブラリに依存するすべてのモジュールを含めて、Strawberry Perl を OpenSSL 1.0.1g に更新するにはどうすればよいですか?

Heartbleed バグの影響を受けた、または影響を受けた Google API を教えてください。アクセス トークンのリフレッシュ トークンを交換するための API が影響を受けるかどうか、私は最も興味があります。これは、Google ドライブ API がとにかく一時的なアクセス トークンのみを使用するため、軽減されるためです。

ユーザーに再認証を勧めるべきですか? これは、古いトークンを無効にしてから、新しいリフレッシュ トークンを取得するためです。

heartbleed パッチ ( 1.0.1g ) を使用して、Web サーバーを最新の openssl に更新しようとしています。openssl.org から tarball を取得しました。いつものことを言った./configure; make; make install。.so ファイルを作成するように言わなければconfig sharedなりませんでした (デフォルトでは .a のみを生成します)。新しい .so を指すように /usr/lib64 のリンクを更新しました -

現在、httpd は次のエラーで実行に失敗しています:

nm -g | grep idea言います:U EVP_idea_cbc

...そのため、シンボルについて知っていますが、シンボルは未定義です。

Openssl のドキュメントには、特許 (明らかに 2012 年に失効した) のため、IDEA はデフォルトで無効になっていると書かれています。無効にする方法については詳しく説明していますが、有効にする方法については説明していません。さらに、彼らはそれがデフォルトで無効になっていると言います.

Apache httpd はシンボルを要求し、シンボルがないと起動しません。

「構成共有有効化アイデア」と言ってみましたが、構成スクリプトは満足していますが、ビルド後もシンボルは未定義です。ビルド出力をファイルにパイプしましたが、crypto/idea ファイルがコンパイルされています。

で始まるすべてのシンボルEVP_*は未定義です...それらはまた未定義ですlibssl.a...だから、間違ったIDEAツリーを吠えているのでしょうか?

EVP_*だから私の質問は、これらのシンボルを有効にするにはどうすればよいですか?

Jetty サーブレット コンテナは OpenSSL を使用していますか? また、Heartbleed バグに対して脆弱ですか? 独自の SSL 実装を使用することになっているため、影響を受けるべきではないと思いますが、内部で何が起こっているのかを確認するのに十分な情報はありません。

ハートビート プロトコルでは、相手側が生きていることを知るために、送信されたのと同じデータで応答する必要があります。特定の固定メッセージを送信する方が簡単ではないでしょうか? 何らかの攻撃を防ぐためですか？

Heartbleed バグをスタック オーバーフローと呼ぶのは正確でしょうか? 私の理解では、これは非常に典型的な例です。これは技術的に正しいですか？