如何确认我的服务器受到了HeartBleed的保护？

Question

我刚得到一个软件更新openssl-1.0.1e-37。我相信这是HeartBleed的补丁。考虑到广泛报道的1.0.1f版本易受攻击，我如何在服务器上验证此修补程序而不诉诸外部检查程序？

Answer 1

我能够下载这个工具并把它放在我的一个系统上，这样我就可以不用外部检查器就可以测试我的主机：

心血

结果与我所期望的一致(修补后脏到干净，而且有一次它在修补后没有清理，进一步的调查显示工具是正确的，而且我没有修补openssl库的每一份副本)。

顺便说一句，你所描述的非常普遍。许多发行版(特别是RHEL)在不改变旧版本Red的情况下都会为这个版本提供支持-- openssl-1.0.1e-16.el6_5.4是坏的旧RPM，openssl-1.0.1e-16.el6_5.7是固定的新RPM。真的吗红帽？你不能推到-16到-17？

更新：

在回答@问题溢出的评论时，问题的这是一个很好的解剖包括代码的演练和完整源代码的链接。

Answer 2

Qualsys实验室目前正在测试垃圾返回，以检测在web服务器上发现的HeartBleed和其他几个漏洞。它还跟踪了一些可能导致SSL/TLS安全性严重问题的配置。

https://www.ssllabs.com/ssltest/