问题标签 [heartbleed-bug]

GAE 是否曾将 OpenSSL 用于其前端服务器？在 Hearbleed 安全漏洞 ( http://heartbleed.com ) 的背景下，这非常有趣。很高兴从 Google 获得确认不存在任何风险。

我们已经升级了我们的服务器并重新生成了任何 cpanel / dovecot / ssh 密钥。我们的客户是否还需要重新生成 CSR 和 SSL 证书？

我还没有看到任何关于这方面的信息。

谢谢

任何人都知道确定我的 JBoss 应用程序是否易受heartbleed安全漏洞影响的最佳方法吗？

我正在使用 JBoss 版本 4.0.4 和 5.1.0。

我在 AWS 上有一个弹性负载均衡器，它不会终止负载均衡器上的 SSL 连接。在亚马逊修补 ELB 服务之前，我的连接是否容易受到 HeartBleed 漏洞的影响？

我的理解是，只有在负载均衡器上终止 SSL 的连接才会受到影响。谁能证实这一点？

对于最近的 OpenSSL 错误，用户空间应用程序是否可以通过 mmap 读取其他进程的内存？这是参考http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html中的错误描述

我想，上面文章中关于通过 memcpy 读取内存的担忧（因为它根据数据包长度中提供的内容复制内存）是有效的，因为如果你碰巧在那个位置有信用卡信息，它可以被发送返回给生成数据包的用户。

我知道 heartbleed-bug 允许远程攻击者从您的机器上读取内存。内存保护可以缓解这种情况吗？

例如，如果我有一个面向公众的 https 网络服务器，那么任何网络服务器流量和数据显然都会受到损害，任何使用通过网络服务器发送的凭据可访问的信息也是如此。但是同一个盒子上的其他进程呢？如果我bash从控制台本地运行，远离 ssl？

GlassFish 3 是否使用 OpenSSL 进行加密？我们的安全人员担心 Heartbleed 漏洞。

我跑了apt-get install openssl

并验证是否安装了新版本 .1g

但是，我注意到即使安装了新的 openssl，我的服务器仍然容易受到攻击，除非我执行完整的apt-get upgrade

见这里： http: //filippo.io/Heartbleed/#www.uat.phantomjscloud.com

如何避免进行完整的 apt-get 升级，但确保正在使用新的 openssl？

仅供参考，我确实验证了这样做 apt-get upgrade会修复心脏出血（我在我的生产服务器中做到了）但我很好奇为什么更新 openssl 还不够好。

仅供参考，我正在使用 nginx。后来我也做apt-get install nginx了，但这也没有解决问题

更新：运行openssl version -a显示1.0.1f仍然处于活动状态，即使在重新启动后也是如此。

我正在使用在 Ubuntu Server 12.04 LTS 上运行的 apache2 服务器。在我的 apache2 conf 文件中有一个看起来像这样的主机。

IfModule mod_ssl.c>

虚拟主机 *:443>

/虚拟主机>

/如果模块>

我避免使用“次要”符号，因为 SO 不显示包含它的行。

我无法在任何地方阅读“OpenSSL”。所以我的直觉说我根本没有使用它。所以我不应该担心 Heart bleed open SSL bug。

我对吗？

提前致谢。

我相信 Sybase OCS-15.0 有一些实用程序，例如使用 OpenSSL 的 certreq、certauth。CVE-2014-0160 会影响这些组件吗？