问题标签 [heartbleed-bug]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 为什么要从源代码编译 Apache?
我在 ubuntu 13.10 上使用 mod_ssl 运行 apache。当我设置服务器时,我用 openssl 从源代码编译了 apache。这使得更新我的服务器以使其不易受到心脏出血的影响是一个很大的痛苦,特别是因为我不是专业的网站管理员或系统管理员,我是一名网络开发人员。
为什么apache必须手动编译?为什么我不能执行
这是我安装所有其他软件的方式。apache有什么特别之处?
或者,有没有我不知道的更简单的方法?
perl - 在草莓 Perl 上更新 OpenSSL
我有一个便携式 Strawberry Perl 版本 5.18.1.1,它具有 OpenSSL 版本 1.0.1e,我想将它更新到 1.0.1g。有人可以帮忙吗?我应该怎么做才能将我的 Strawberry Perl 更新到 OpenSSL 1.0.1g,包括依赖这个库的所有模块,例如 crypt::ssleay ?
php - heartbleed 影响 iTunes 的 3rd 方 php 服务器收据验证?
我有一个工作的第 3 方 php 代码验证从 ipad 发送的收据。但似乎https://sandbox.itunes.apple.com/verifyReceipt不再响应我的 php 代码。{"status":21000}如果我直接访问网址,甚至没有错误统计信息。我在服务器端尝试了不同的方法,比如 curl_exec($ch); 或 file_get_contents 即使是简单的测试也不会返回任何内容。
我想知道这是否是由心脏出血引起的,我该怎么办?
我原来的工作 php 代码:
google-drive-api - Heartbleed 漏洞是否影响了 Google API?
哪些 Google API 受到 Heartbleed 错误的影响?我很好奇用于将刷新令牌交换为访问令牌的 API 是否受到影响,因为 Google Drive API 无论如何都只使用临时访问令牌,因此它们得到了缓解。
我们应该建议我们的用户重新授权吗?这是为了使旧的无效,然后有一个新的刷新令牌。
python - Heartbleed 接收什么样的数据?
我一直在几台服务器上使用 Heartbleed 的 Python 实现,并获得了各种数据作为响应。
在收到的数据中,我看到:
我知道我在这里是一个脚本小子,但无论如何,我想知道这些数据来自哪里(RAM?)哪些应用程序将数据放在那里(apache?openSSL?)并且通常希望更广泛地了解正在发生的事情.
有什么帮助吗?
openssl - Heartbleed 错误是否需要我更换我的 openPGP 密钥集?
在我的 Gentoo 系统上,调用
我发现电子邮件程序thunderbird 和openSSL 之间存在许多依赖关系。
我正在使用 Thunderbird 插件 openPGP 来加密和签署我通过电子邮件发送的一些更重要的内容。我的密钥集是使用 openPGP 生成的,据我所知,私钥从未离开我的计算机。
现在的问题是:假设我的电子邮件提供商正在使用可利用的 openssl 版本之一,并且知道我直到昨天才在自己的 Linux 系统上这样做,那么攻击者是否可以在我发送已签名的文件时从我自己的计算机上获取我的私钥电子邮件?
linux - 如何在 openssl 中启用 EVP 功能?
我正在尝试使用 heartbleed 补丁 ( 1.0.1g ) 将我的 Web 服务器更新到最新的 openssl。我从 openssl.org 获取了压缩包。照例说./configure; make; make install。不得不说config shared让它制作 .so 文件(默认情况下它只生成 .a )。更新了 /usr/lib64 中的链接以指向新的 .so -
现在 httpd 无法运行并出现以下抱怨:
nm -g | grep idea说:U EVP_idea_cbc
...所以它知道符号,但符号未定义。
Openssl 文档说他们默认禁用 IDEA,因为专利(显然在 2012 年到期)。他们详细介绍了如何禁用它,但没有介绍如何启用它。此外,他们说默认情况下它是禁用的。
Apache httpd 需要该符号,没有它就无法启动。
我试过说“config shared enable-idea”并且配置脚本很高兴,但构建后符号仍然未定义。我将构建输出通过管道传输到一个文件中,并且正在编译加密/想法文件。
开头的每个符号EVP_*都是未定义的...它们在libssl.a...中也是未定义的所以也许我在吠叫错误的IDEA树?
所以我的问题变成了 - 我如何启用这些EVP_*符号?
jetty - Jetty 是否使用 OpenSSL,它是否容易受到 Heartbleed 错误的影响?
Jetty Servlet 容器是否使用 OpenSSL,它是否容易受到 Heartbleed 错误的影响?我认为它不应该受到影响,因为它应该使用自己的 SSL 实现,但我对幕后发生的事情知之甚少,无法确定。
ssl - Why does the TLS heartbeat extension allow user supplied data?
The heartbeat protocol requires the other end to reply with the same data that was sent to it, to know that the other end is alive. Wouldn't sending a certain fixed message be simpler? Is it to prevent some kind of attack?
stack-overflow - 将 Heartbleed 错误称为堆栈溢出是否准确?
将 Heartbleed 错误称为堆栈溢出是否准确?在我的理解中,这是一个非常典型的例子。这在技术上正确吗?