LUG 所有服务器升级 OpenSSL 以修复 Heartbleed 漏洞
•
OpenSSL 爆出重大漏洞(CVE-2014-0160),由于 TLS heartbeat extension 中没有检查长度字段与实际长度是否相符,可以溢出缓冲区,获取至多 64 KB 的服务器内存内容,包含用户请求、SSL 证书等敏感信息。此漏洞影响 OpenSSL 1.0.1a 至 1.0.1f,Debian wheezy 包含在其中。LUG 所有提供 HTTPS 的服务器都从 Debian security 源升级了 OpenSSL 并重启了相关服务。
升级过程中,发现部分服务器的 sudoers 存在问题(没有设置 sudo PATH),部分服务器的 /etc/apt/sources.list 存在问题(没有包含 security 源),一并予以解决。