Heartbleed: OpenSSL Vulnerability


Status
Not open for further replies.

handris

Apprentice 1.0
Hari ini saya membaca banyak berita tentang Open SSL Heartbleed Vulnerability. Yang intinya terdapat bug parah pada keamanan openssl.

Beberapa security advisor sangat menyarankan untuk segera melakukan patch versi terbaru open ssl. Dan mengganti semua yang berhubungan dengan password dengan karakter yang lebih kuat.

Beritanya di BBC: http://www.bbc.com/news/technology-26935905
Security advisor dari openssl : https://www.openssl.org/news/secadv_20140407.txt

Salah satu tools online untuk pengecekan, apakah openSSL Anda tidak berpotensi pada bug ini adalah : http://filippo.io/Heartbleed/
 

pedagang

Hosting Guru
# iya nih, provider vps saya juga melakukan maintenence terkait dg itu, semalam down beberapa menit
 

thelor

Beginner 2.0
dari baca-baca forum, sepertinya tidak butuh reboot, hanya stop/start proses saja (semua proses yang make openssl).
- http://forums.cpanel.net/f185/openssl-heartbleed-bug-1-0-1g-encryption-keys-risk-401511.html
- http://www.webhostingtalk.com/showthread.php?t=1364373&page=3

cek buat mastiin openssl sudah path update,

# rpm -qa |grep openssl
openssl-devel-1.0.1e-16.el6_5.7.x86_64
openssl-1.0.1e-16.el6_5.7.x86_64
# rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160
* Mon Apr 07 2014 Tomáš Mráz <[email protected]> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
 

junior riau

Hosting Guru
Verified Provider
ho mungkin restart apache kali ya :p
gak kepikiran :D
http://heartbleed.com/
bagian ini

What versions of the OpenSSL are affected?
Status of different versions:

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable <======
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.


1.0.1e termasuk dalam rentang 1.0.1 - 1.0.1f
 

thelor

Beginner 2.0
lebih baik (katanya) pake command stop dan start, bukan restart, untuk memastikan semua proses yang make sudah terminate.
- http://www.webhostingtalk.com/showpost.php?s=ba0ca0fdcbb3d668d85196d352d83be5&p=9076100&postcount=44

1.0.1e termasuk dalam rentang 1.0.1 - 1.0.1f
wah kurang tau juga, tapi lihat changelognya sepertinya sudah update path untuk issue ini.
# rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160
* Mon Apr 07 2014 Tomáš Mráz <[email protected]> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

CL juga release update
New package openssl-1.0.1e-16.el6_5.7 has been released earlier today that fixes critical security issue
CVE-2014-0160
- http://www.cloudlinux.com/blog/clnews/464.php
 
Status
Not open for further replies.

Top