转自：http://www.2cto.com/Article/201404/294563.html

 这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶，请看这篇文章：分析、诊断OpenSSL Heartbleed Bug，目前可知的能够利用此漏洞的版本是：

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

到自己管理的服务器上执行一下命令：

?

123	[root@server ~]# openssl version OpenSSL1.0.1e-fips 11Feb2013

 

很明显，我的服务器上存在漏洞，于是，到网上下载了一个脚本：Python脚本检测OpenSSL Heart Bleed （心脏流血）漏洞，测试一下：

?

123	liang@liang:~/golang$ python ssltest.pyEnter a host: www.xxxx.comTesting www.xxxx.com... vulnerable.

 

代表此网站存在漏洞可被利用。

幸好，Centos 已提供升级包，解决此问题：

?

12345678910

[root@server ~]# yum -y install openssl[root@server ~]# openssl version -aOpenSSL1.0.1e-fips 11Feb2013built on:TueApr802:39:29 UTC 2014platform: linux-x86_64options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall-O2 -g -pipe -Wall-Wp,-D_FORTIFY_SOURCE=2-fexceptions -fstack-protector --param=ssp-buffer-size=4-m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASMOPENSSLDIR:"/etc/pki/tls"engines: dynamic [root@server ~]# reboot

先安装yum -y install openssl，然后输出openssl版本和built日期，如果built日期是Apr 8, 2014之前的，都存在问题，上面显示已经更新了openssl版本，不会存在heartbleed漏洞。最后一步，是重新启动服务器，再用脚本检测：

?

123	liang@liang:~/golang$ python ssltest.pyEnter a host: www.xxxx.comTesting www.xxxx.com... not vulnerable.

已经修复了。