OpenSSL 版本 CVE-2014-0160 心血漏洞 对 https 服务nginx的影响和修复

关于 OpenSSL1.0.1版本 CVE-2014-0160 心血漏洞 对 https 服务的影响和修复

漏洞描述:
http://www.techweb.com.cn/ucweb/news/id/2025856

漏洞检查:
http://wangzhan.360.cn/heartbleed

漏洞解决:

我们使用的主要是 nginx 的 https 服务,因此需要针对 nginx进行处理,
对操作系统 比如 centos 打补丁只能解决系统本身的ssl相关问题
使用 OpenSSL 1.0.1g (不受影响) 重新编译 nginx 即可。

wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.35.tar.gz
wget http://zlib.net/zlib-1.2.8.tar.gz
wget ftp://ftp.openssl.org/source/openssl-1.0.1g.tar.gz
tar -xf pcre-8.35.tar.gz
tar -xf zlib-1.2.8.tar.gz
tar -xf openssl-1.0.1g.tar.gz
tar -xf nginx-1.4.7.tar.gz

cd nginx-1.4.7

# 编译依赖的lib需要源代码目录
./configure –prefix=/data/lib/nginx-1.4.7 –sbin-path=/data/lib/nginx-1.4.7/sbin/nginx –conf-path=/data/lib/nginx-1.4.7/conf/nginx.conf –error-log-path=/data/lib/nginx-1.4.7/logs/error.log –pid-path=/data/lib/nginx-1.4.7/var/nginx.pid –lock-path=/data/lib/nginx-1.4.7/var/nginx.lock –http-log-path=/data/lib/nginx-1.4.7/logs/access.log –http-client-body-temp-path=/data/lib/nginx-1.4.7/temp/client_body_temp –http-proxy-temp-path=/data/lib/nginx-1.4.7/temp/proxy_temp –http-fastcgi-temp-path=/data/lib/nginx-1.4.7/temp/fastcgi_temp –http-uwsgi-temp-path=/data/lib/nginx-1.4.7/temp/uwsgi_temp –http-scgi-temp-path=/data/lib/nginx-1.4.7/temp/scgi_temp –with-ipv6 –with-pcre=/data/lib/src/pcre-8.35 –with-openssl=/data/lib/src/openssl-1.0.1g –with-zlib=/data/lib/src/zlib-1.2.8 –with-http_ssl_module –with-http_realip_module –with-http_addition_module –with-http_sub_module –with-http_dav_module –with-http_flv_module –with-http_gzip_static_module –with-http_random_index_module –with-http_secure_link_module –with-http_degradation_module –with-http_stub_status_module
make
make install

mkdir /data/lib/nginx-1.4.7/temp -p

# 复制旧版本配置文件
cp -R /data/lib/nginx/conf/nginx.conf /data/lib/nginx-1.4.7/conf/
cp -R /data/lib/nginx/conf/ssl /data/lib/nginx-1.4.7/conf/

# 更新软连接并重启
./nginx/sbin/nginx -s stop
rm -f nginx
ln -s nginx-1.4.7 nginx
./nginx/sbin/nginx

重启后使用
http://wangzhan.360.cn/heartbleed
再次检测