Heartbleed: OpenSSL Vulnerability


Status
Not open for further replies.

galuh82

Hosting Guru
Verified Provider
bisa juga sih,, tapi kan abis patch bisa di pentest lagi
heheh ya silakan aja kalau lebih cenderung kesana, server produksi tentunya akan cari aman.

pengalamannya cuma update openssl gimana? apakah tidak ada hal mencurigakan di virtualizornya ?
 

galuh82

Hosting Guru
Verified Provider
bisa juga sih,, tapi kan abis patch bisa di pentest lagi
heheh ya silakan aja kalau lebih cenderung kesana, server produksi tentunya akan cari aman.

pengalamannya cuma update openssl gimana? apakah tidak ada hal mencurigakan di virtualizornya ?
 

Nina Prasetyo

Expert 2.0
Kalo yang pake centOs 5 enggak vulnerable kan yaah?
"RHEL/CentOS 5 servers which are using the OpenSSL 0.9.8 RPM included in the official OS repositories are not vulnerable since they are using an older version of OpenSSL that never contained this vulnerability."

CentOS 5.x aman... masi pake OpenSSL 0.9.8.
 

Nina Prasetyo

Expert 2.0
ho mungkin restart apache kali ya :p
gak kepikiran :D
http://heartbleed.com/
bagian ini

What versions of the OpenSSL are affected?
Status of different versions:

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable <======
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.


1.0.1e termasuk dalam rentang 1.0.1 - 1.0.1f


1.0.1e yang update-an terakhir dari RedHat/CentOS itu downgraded paket dengan re-compile tanpa heartbeat library. Jd mmg itu patch simple utk Redhat/CentOS 6.x..
 

Nina Prasetyo

Expert 2.0
Kenapa redhat/centos/debian downgrade ke 1.0.1e padahal sudah muncul 1.0.1f, serta update fixnya di 1.0.1g ? karena agar supaya service2 yang make openssl masih compatible, dengan hanya menghilangkan fungsi heartbeatnya saja. Dibandingkan dengan upgrade ke 1.0.1g dikhawatirkan akan terjadi incompatibility dengan existing services.

satu lagi, kalau sdh di patch... biar lebih aman lagi...selain ganti password.... termasuk revoke/re-issue sertifikat SSL-nya.... bisa jadi, ngga cuma sudah ngintip password-nya, tetapi sertifikatnya jg sdh di copy.... hehehe....
 

deRegen

Apprentice 1.0
saya sehabis update Heartbleed: OpenSSL Vulnerability setelah itu restart server kok jadi down ya ??
ada yang kejadian??

terima kasih

updatenya pake package manager atau manual update openssl?
 
Status
Not open for further replies.

Top