Heroku VULNERABLE (DoS)

Question

因此，我使用sslanalyzer.comodoca.com测试了我所有的应用程序的心脏出血漏洞。在这样做的过程中，我注意到我在Heroku上运行的一些Rails4应用程序对安全重新协商(客户端启动)漏洞(DoS)是开放的。

有人知道怎么解决这个问题吗？

谢谢,

科里

Answer 1

根据this新闻文章，你可以使用-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL，或者直接升级到OpenSSL 1.0.1g。

编辑 Heroku states，他们修复了心脏出血问题。显然，在他们修复它之前，他们提供了轮换数据库凭证作为解决方案：

heroku pg:credentials --reset HEROKU_POSTGRESQL_COLORHERE

或

我们强烈建议使用SSL的应用程序的客户生成新的私钥，然后使用新密钥由其颁发者重新颁发证书。使用新签名的证书，转到update your SSL endpoint。