问题标签 [heartbleed-bug]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

81 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
3165 浏览

openssl - 即使在升级后,与 OpenSSL 的链接也会因 Heartbleed 安全公告而失败

在使用命令radiusd -X在调试模式下运行半径服务器时,我遇到了这样的问题

错误如下所示:

拒绝从 libssl 版本 OpenSSL 1.0.1f 2014 年 1 月 6 日开始(范围 1.0.1 - 1.0.1f)。安全公告 CVE-2014-0160 (Heartbleed) 有关详细信息,请参阅http://heartbleed.com

安装的openssl版本如下图所示:

OpenSSL 1.0.1g 2014 年 4 月 7 日

尽管我安装/更新了 OpenSSL 1.0.1g,但我收到了一个名为 heartbleed 的错误。我陷入了这个问题,任何人都可以帮我解决这个问题吗?

0 投票
2 回答
276 浏览

debugging - 如何安装freeradius服务器?

任何人都可以拥有 freeradius 服务器安装指南/文档吗?

因为我尝试安装了几次,它完成了,但是在调试模式下运行时,它在openssl上引起了很多问题/错误,比如

1.header 不匹配。

2.heartbleed错误。

3.脆弱的

4.等等,..

.我想,我在我的服务器系统上安装时跳过了一些步骤,为什么意味着 freeradius 服务器与我竞争并且不能正常工作?

如果有人愿意提供指导或文档,那将对我有所帮助。!!!

0 投票
1 回答
639 浏览

openssl - 在修复之前如何找到导致 Heartbleed Bug 的代码?

我可以找到 t1_lib.c 的开源代码,但是有没有存放旧代码的地方?我需要做一个项目,向班级展示如果未完成边界检查会发生什么,但我不确定文件中添加了多少来解决问题。我正在学习高级数据安全课程,这是我被分配的项目。谢谢!

0 投票
1 回答
69 浏览

ssl - openssl 心脏出血漏洞

安装 SSL 后,我发现我的网站具有Heart bleed Vulnerability. 我正在使用openssl 1.0.1.6. 当我被推荐一些来源时,它表明我需要更新我的openssl版本并需要创建新的私钥,然后需要为SSL certificate. 我不知道 SSL 证书供应商会重新颁发SSL certificate一遍。有没有其他解决方案来解决它?有没有可用的补丁?请帮助大家?

0 投票
2 回答
858 浏览

c++ - memcpy() 没有按预期工作

我正在尝试在 Linux 上用 C/C++ 简单实现 Heartbleed Bug(在 vmplayer 上使用 ElementaryOS)。根据我对 heartbleed bug 的理解,它涉及客户端向服务器发送心跳请求,为包含的有效负载指定比有效负载的实际大小更大的大小,这导致服务器包含将布局的内存中的内容在本地有效负载缓冲区之后,在响应中。

到目前为止,我拥有的是一个客户端/服务器应用程序。客户端连接到服务器并发送一条敏感信息,在本例中为密码。接下来,客户端向服务器发送心跳请求,指定错误的有效负载大小。我像这样声明我的局部变量:

我从心跳请求中检索内容,如下所示:

在心跳请求中,有效载荷是“有效载荷”,大小是 45。然后我像这样调用 memcpy():

我期望有效负载变量保存值“有效负载”,然后是密码变量中的内容。但是有效载荷仅包含值“有效载荷”。

谁能指出我做错了什么?

所有代码:

0 投票
2 回答
358 浏览

openssl - 我的 openssl 版本是否易受攻击?

我刚刚使用默认设置安装了 Centos 7,我想确定我的 openssl 版本是否受到 heartbleed 的影响。我猜不是,因为版本命令说built on: Mon Dec 14 05:15:47 UTC 2015大多数易受攻击的版本都是在 2013 年构建的。

无论如何,这是命令的完整输出:

0 投票
1 回答
124 浏览

openssl - Ubuntu 可信赖的公共存储库是否托管了令人心碎的易受攻击的 openssl 版本?

看起来 Ubuntu trusty 正在托管 OpenSSL 版本:1.0.1f-1ubuntu2.21

这真的容易被心脏出血吗?

0 投票
0 回答
85 浏览

apache - 在 xampp 上降级 OpenSSL 版本以重新创建 Heartbleed

我正在尝试在 localhost apache 服务器上重新创建 heartbleed 攻击。我在我的 ubuntu 上运行 xampp 1.8.3-2,我想将我的 OpenSSL 版本从 1.0.1e 降级到 1.0.1b。我在网上找到了一些关于如何在 Windows 上执行此操作的信息,但没有关于 linux - 只有如何明显更新。我需要替换哪些文件,在哪里可以找到 1.0.1b 的文件?

提前致谢!

0 投票
0 回答
155 浏览

python - 我正在测试 heartbleed 但到我的网络服务器

我计划通过制作小型运动网络服务器来展示我的课堂上的心脏出血错误是如何工作的。所以使用虚拟机,我安装了 Ubuntu 14.04 OS,它有易受攻击的 openssl(1.0.1f) 版本。并安装了 apache2,制作了小型网站。但是当我在我的 mac 操作系统中运行 heartbleed python 代码到那个网站时,我只得到了

它应该容易受到这种攻击吗?我不知道为什么会出现这个结果

0 投票
2 回答
5724 浏览

openssl - 如何将 Ubuntu 上的 OpenSSL 从 OpenSSL 1.0.1f 更新到 OpenSSL 1.0.2g?

我有几个步骤可以做到这一点,但在执行以下步骤后,我仍然得到相同的版本。

实际上我排除了结果,但我没有遇到任何错误。你们能给我一些意见吗?


12345678910