问题标签 [heartbleed-bug]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
windows - 使用 APR 和 OpenSSL 解决 Tomcat 上的 Heartbleed 问题。编译错误
我在使用 Tomcat 作为 Web 服务器并使用 Apache Portable Runtime (APR) 和 OpenSSL for SSL 的 Windows 机器上运行 TeamCity。
我还没有设法将 OpenSSL 的版本升级到 1.0.1g,我认为原因是因为 Tomcat 原生库二进制文件 (tcnative-1.dll) ( http://archive.apache.org/dist/tomcat/tomcat -connectors/native/1.1.29/binaries/tomcat-native-1.1.29-win32-bin.zip)包含 OpenSSL 的 APR 和 1.0.1e 版本,我找不到 1.0.1 的新二进制文件。 G。
我尝试自己编译 Tomcat 本机库,但在尝试编译“libapr”项目时出现编译错误。
我得到的编译错误是:
我正在尝试在 Visual Studio Ultimate 2013 中编译(也许 Visual Studio 的版本太新?)。
我该如何解决这个问题?
有没有人使用 OpenSSL 1.0.1.g 成功构建了 Tomcat 本机库?
更新
我已将“平台工具集”设置为 v100(如此处建议https://groups.google.com/forum/#!topic/UniMRCP/Iybpn51UYnI)并且之前的编译错误消失了,但现在我得到了新错误:
更多更新
我确实设法解决了编译问题并使用 OpenSSL 1.0.1g 构建了一个 tcnative-1.dll,我的 TeamCity 已启动并运行,修复了 Heartbleed 问题!我现在很忙。但请询问您是否需要该程序的详细说明。
security - 心跳扩展:允许任意有效载荷有意义吗?
https://www.rfc-editor.org/rfc/rfc6520没有解释为什么心跳请求/响应往返应该包含有效负载。它只是指定有效负载有空间,并且响应必须包含与请求相同的有效负载。
这个有效载荷有什么用?我的问题是:
工程师在设计协议以允许将任意有效负载包含到心跳请求中时会想到什么?有什么优势?
响应中必须包含此有效负载的原因是什么?
我看到通过允许任意有效负载,应用程序能够明确地将某个响应与某个请求相匹配。这是唯一的优势吗?如果是,那么为什么不强制有效载荷具有一定的长度?有效载荷长度的灵活性有什么好处?它是否与加密概念有关,因此心跳请求的长度必须是不可预测的?
其他类似“心跳”的协议扩展只是预先定义了确切的请求(例如“ping”)和相应的响应(例如“pong”)。为什么https://www.rfc-editor.org/rfc/rfc6520采取了不同的路线?
重要的是要了解 RFC6520 中做出的选择背后的原因,以便正确评估所有这些可能是智能放置的后门的假设。
java - 哪个 SSL 确认
我维护的一个 Java Servlet 使用 SSL 加密。我认为它使用 Oracle 的 JSSE SSL,在HeartBleed Bug 公告之后我不想使用 OpenSSL。有人可以告诉我如何确定是这种情况吗?
到目前为止,我在 Google 上一无所获。
ssl - 将 ssl 证书从单个域更改为通配符并且没有收到浏览器警告
我们将需要很快开始支持多个子域(de.fr.等),因此需要更改为通配符证书。这也是心脏出血错误的好时机。
要更改为通配符证书,我需要创建一个新的 CSR,然后当我使用这个新证书时,我担心用户会在浏览器中看到警告。
有没有办法避免这种情况或我误解了这个问题?
amazon-ec2 - Heartbleed OpenSSL 升级问题
好的,所以我将我的 AWS EC2 服务器上的 OpenSSL(为了避免 heartbleedbug)从 v1.0.1c 更新到 v1.0.1f 。我必须从源代码编译并安装它。我重新启动了服务器,一切正常,并且 openssl 显示了 2014 年 4 月 7 日发布的最新版本。所以这一切都很好,但是,我有一个来自 thawte 的安全证书,当我从他们的网站上进行漏洞测试时工具,他们说我仍然很脆弱。
这是否意味着我必须重新颁发和重新生成我的密钥和证书?或者这只是他们一方的缓存问题?
有任何想法吗 ?
openssl - HeartBleed 和 CENTOS - 安装了最新版本的 openssl 但它没有使用它
我已经更新了,但它显示的是旧版本。
所以这两个命令给出了相互矛盾的结果。
后者是正确的版本,但它在旧(第一个)版本上运行。是否有一些未记录的配置?
我们升级了内核和固件并重新启动以确保不会导致任何问题..
apache - 什么是 SSL 心跳?
随着关于 heartbleed 错误的所有喋喋不休,很难找到关于 OpenSSL 被利用的心跳扩展究竟用于什么的信息。
此外,是否可以为带有 mod_ssl 的 Apache 禁用它,而无需-DOPENSSL_NO_HEARTBEATS按照建议 @ http://heartbleed.com/重新编译标志?
ssl - Heroku 更新 SSL 端点失败 - 找不到签署证书的密钥
我正在尝试在我的 Heroku Rails 应用程序上替换我的 SSL 证书。
我已重新颁发 SSL 证书并正在尝试更新 SSL 端点。
但是,当我运行以下命令时,出现此错误。
ruby - 如何确保 Ruby 使用不受 Heartbleed 攻击的 OpenSSL?
继 Heartbleed 漏洞之后,ruby-lang.org 上的这篇文章描述了如何检查漏洞和升级。
它包括以下建议:
要验证您链接到 Ruby 的 OpenSSL 库的版本,请使用以下命令:
要验证当前随 Ruby 安装的 OpenSSL 版本,请使用以下命令:
这两项检查有什么区别,如果任一命令返回错误版本,建议采取什么措施?
openssl - OpenSSL version for Heartbleed
How does one check the version of OpenSSL for the Heartbleed vulnerability on CentOS systems, and what is the procedure for manually updating it?