Grave falha de segurança no OpenSSL

[Visitante]

Não entendi como posso saber se estou rodando o openssl antigo ou o novo.

Pode me informar?

 

Fiz isso e não apareceu uma lista limpa:

# lsof -n | grep ssl | grep DEL

/lib64/libssl.so.1.0.1elo 19039     root  DEL       REG                9,2             50074209 /usr

 

Rodando este comando:

 

rpm -qa | grep openssl

 

Veja a versão: se for 5.7 é a atualizada. A CentOS muda os nomes dos pacotes em seu repositório, então se alguém achar que a versão E está vulnerável, não está. Somente se for a versão E 5.6 ou anterior.

[itsnyc]

Aqui mais um site para testar  vulnabilidade.... http://filippo.io/Heartbleed/,  

 

E para quem quer diminuir os problemas usa o CloudLinux

[redirect]

quem usa apenas certificados auto-assinados (apenas para o cpanel) precisa fazer esse upgrade? não uso certificados comprados.

[rubensk]

quem usa apenas certificados auto-assinados (apenas para o cpanel) precisa fazer esse upgrade? não uso certificados comprados.

 

Precisa igual. Sua chave privada foi potencialmente comprometida, e no caso de auto-assinado nem tem custo. E não é só fazer upgrade, é substituir chave.

[Visitante]

quem usa apenas certificados auto-assinados (apenas para o cpanel) precisa fazer esse upgrade? não uso certificados comprados.

 

Precisa fazer o upgrade e resetar os certificados:

 

Service Manager -> Manage Service SSL Certificates

 

Resetar o SSL de cada um dos serviços.

[Visitante dessideriojr]

Para saber se está tudo ok com o seu servidor em relação a essa falha, segue o link de testes.

 

http://filippo.io/Heartbleed/

[rubensk]

Para quem tinha dúvida de que tinha que trocar a chave privada e reemitir certificado:

https://www.cloudflarechallenge.com/heartbleed

[redirect]

Mais uma dúvida: quem usa o Centos versão 5 não consta o update, esse bug afeta apenas a versão 6 do Centos?

[rubensk]

Mais uma dúvida: quem usa o Centos versão 5 não consta o update, esse bug afeta apenas a versão 6 do Centos?

 

Era possível instalar OpenSSL 1.0.x, mas era por RPMs fora do padrão. É bom checar porém se o OpenSSL tinha a última versão disponível (0.9.8 alguma letra), ou apesar de não ter Heartbleed pode ter n outros problemas conhecidos e resolvidos. 

[redirect]

Era possível instalar OpenSSL 1.0.x, mas era por RPMs fora do padrão. É bom checar porém se o OpenSSL tinha a última versão disponível (0.9.8 alguma letra), ou apesar de não ter Heartbleed pode ter n outros problemas conhecidos e resolvidos.

eu executei o yum update openssl e não mostrou nenhuma atualização.