Pertanyaan Heartbleed: Apa itu dan apa pilihan untuk meredakannya?


Ini adalah sebuah Pertanyaan Kanonis tentang memahami dan memulihkan masalah keamanan Heartbleed.

Apa sebenarnya CVE-2014-0160 AKA "Heartbleed"? Apa penyebabnya, OS dan versi OpenSSL apa yang rentan, apa gejalanya, apakah ada metode untuk mendeteksi eksploit yang sukses?

Bagaimana saya bisa mengecek untuk melihat apakah sistem saya terpengaruh? Bagaimana kerentanan ini dapat dikurangi? Haruskah saya khawatir bahwa kunci saya atau data pribadi lainnya telah dikompromikan? Apa efek samping lain yang harus saya perhatikan?


204
2018-04-08 00:26




Mitigasi untuk Heartbleed melibatkan lebih dari sekedar kunci baru. (Tautkan ke jawaban saya di Keamanan Informasi StackExchange) - scuzzy-delta
Saya mendengar Anda, tetapi saya pikir EEAA cukup komprehensif membahasnya di bawah ini. - MadHatter
Saya setuju: itu jawaban yang bagus, tapi heartbleed.com berusaha keras untuk menunjukkan bahwa ada pertimbangan di luar pasangan kunci baru - seperti memaksa perubahan kata sandi dan pembatalan sesi. - scuzzy-delta
@ scuzzy-delta - poin bagus. Saya sudah membuat jawaban saya CW sekarang, jadi silakan edit / perbaiki dengan informasi itu. - EEAA
Contoh terbaik tentang apa itu - (tidak mengejutkan) XKCD: xkcd.com/1354 - Wayne Werner


Jawaban:


Pertama, sebelum panik, pastikan Anda memahami apakah kerentanan ini benar-benar berlaku untuk Anda. Jika Anda memiliki server, tetapi tidak pernah benar-benar memiliki aplikasi yang menggunakan TLS, maka ini bukan hal prioritas tinggi untuk Anda perbaiki. Jika, di sisi lain, Anda pernah punya Aplikasi berkemampuan TLS, maka Anda sedang dalam perawatan. Baca terus:

Apa sebenarnya CVE-2014-0160 alias "Heartbleed"?

Ini adalah kekacauan besar, itulah yang terjadi. Singkatnya, kerentanan yang dapat dieksploitasi jarak jauh ditemukan di OpenSSL versi 1.0.1 hingga 1.0.1f di mana penyerang dapat membaca bagian-bagian tertentu dari memori sistem. Bagian-bagian itu adalah yang menyimpan data sensitif seperti kunci privat, kunci yang di-presharing, kata sandi, dan data perusahaan bernilai tinggi di antara hal-hal lainnya.

Bug itu ditemukan secara independen oleh Neel Mehta dari Google Security (21 Maret 2014) dan perusahaan pengujian keamanan IT Finlandia, Codenomicon (2 April 2014).

Apa penyebabnya?

Nah, kode yang salah di OpenSSL. Sini adalah komit yang memperkenalkan kerentanan, dan sini adalah komitmen yang memperbaiki kerentanan. Bug muncul pada bulan Desember 2011 dan ditambal hari ini, 7 April 2014.

Bug juga dapat dilihat sebagai gejala masalah yang lebih besar. Kedua masalah terkait adalah (1) proses apa yang dilakukan untuk memastikan kode yang salah tidak diperkenalkan ke basis kode, dan (2) mengapa protokol dan ekstensi begitu rumit dan sulit untuk diuji. Item (1) adalah masalah tata kelola dan proses dengan OpenSSL dan banyak proyek lainnya. Banyak pengembang yang menolak praktik seperti ulasan kode, analisis, dan pemindaian. Item (2) sedang dibahas di IETF's TLS WG. Lihat Kompleksitas heartbleed / protocol.

Apakah kode yang menyimpang dimasukkan dengan jahat?

Saya tidak akan berspekulasi tentang apakah ini benar-benar kesalahan atau mungkin sedikit kode masuk atas nama aktor yang buruk. Namun, orang yang mengembangkan kode untuk OpenSSL menyatakan itu tidak disengaja. Lihat Orang yang memperkenalkan cacat keamanan 'Heartbleed' menyangkal bahwa dia sengaja memasukkannya.

OS dan versi OpenSSL apa yang rentan?

Seperti yang disebutkan di atas, sistem operasi apa pun yang menggunakan, atau aplikasi yang terhubung dengan OpenSSL 1.0.1 hingga 1.0.1f.

Apa saja gejalanya, apakah ada metode untuk mendeteksi eksploit yang sukses?

Ini adalah bagian yang menakutkan. Sejauh yang kami tahu, tidak ada cara yang diketahui untuk mendeteksi apakah kerentanan ini telah dieksploitasi. Secara teoritis mungkin bahwa tanda tangan IDS akan dirilis segera yang dapat mendeteksi eksploitasi ini, tetapi pada tulisan ini, mereka tidak tersedia.

Ada bukti bahwa Heartbleed sedang aktif dieksploitasi di alam liar sedini November 2013. Lihat EFF's Wild at Heart: Apakah Agen Intelijen Menggunakan Heartbleed pada November 2013? Dan Bloomberg melaporkan bahwa NSA telah menggunakan senjata eksploit tak lama setelah kerentanan itu diperkenalkan. Lihat NSA Mengatakan untuk Mengeksploitasi Heartbleed Bug untuk Intelijen selama Bertahun-tahun. Namun, Komunitas Intelijen AS membantah klaim Bloomberg. Lihat IC ON THE RECORD.

Bagaimana saya bisa mengecek untuk melihat apakah sistem saya terpengaruh?

Jika Anda mempertahankan OpenSSL pada sistem Anda, maka Anda dapat dengan mudah menerbitkannya openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

Jika distribusi adalah mempertahankan OpenSSL, maka Anda mungkin tidak dapat menentukan versi OpenSSL karena menggunakan tambalan kembali openssl perintah atau informasi paket (misalnya, apt-get, dpkg, yum atau rpm). Proses patching belakang yang digunakan oleh sebagian besar (semua?) Distribusi hanya menggunakan nomor versi dasar (misalnya, "1.0.1e"); dan ya tidak termasuk sebuah versi keamanan yang efektif (misalnya, "1.0.1g").

Ada pertanyaan terbuka tentang Pengguna Super untuk menentukan versi keamanan yang efektif untuk OpenSSL dan paket lain ketika paket-paket itu di-download. Sayangnya, tidak ada jawaban yang berguna (selain memeriksa situs web distro). Lihat Tentukan Versi Keamanan Efektif ketika dihadapkan dengan Backpatching?

Sebagai aturan praktis: jika Anda pernah menginstal salah satu versi yang terpengaruh, dan pernah menjalankan program atau layanan yang terkait dengan OpenSSL untuk dukungan TLS, maka Anda rentan.

Di mana saya dapat menemukan program untuk menguji kerentanan?

Dalam beberapa jam setelah pengumuman Heartbleed, beberapa orang di internet telah mempublikasikan aplikasi web yang dapat diakses publik yang seharusnya dapat digunakan untuk memeriksa server untuk kehadiran kerentanan ini. Pada tulisan ini, saya belum meninjaunya, jadi saya tidak akan mempublikasikan lebih lanjut aplikasi mereka. Mereka dapat ditemukan relatif mudah dengan bantuan mesin pencari pilihan Anda.

Bagaimana kerentanan ini dikurangi?

Tingkatkan ke versi tidak rentan dan atur ulang atau kembalikan data yang rentan. Sebagaimana dicatat pada Heartbleed situs, langkah respons yang tepat secara luas:

  1. Menambal sistem yang rentan.
  2. Regenerasikan kunci pribadi baru.
  3. Kirim CSR baru ke CA Anda.
  4. Dapatkan dan pasang sertifikat baru yang ditandatangani.
  5. Kunci sesi dan cookie tidak valid
  6. Setel ulang kata sandi dan rahasia bersama
  7. Cabut sertifikat lama.

Untuk analisis dan jawaban yang lebih rinci, lihat Apa yang harus dilakukan oleh operator situs web tentang eksploitasi Heartbleed OpenSSL?di Pertukaran Tumpukan Keamanan.

Haruskah saya khawatir bahwa kunci saya atau data pribadi lainnya telah ada   dikompromikan? Apa efek samping lain yang harus saya perhatikan?

Benar. Sistem Administrator perlu menganggap bahwa server mereka yang menggunakan versi OpenSSL rentan memang dikompromikan dan merespons dengan tepat.

Tak lama setelah kerentanan itu diungkapkan, Cloudfare menawarkan tantangan untuk melihat apakah kunci pribadi server dapat dipulihkan dalam praktek. Tantangannya secara independen dimenangkan oleh Fedor Indutny dan Ilkka Mattila. Lihat Tantangan Heartbleed.

Di mana saya dapat menemukan informasi lebih lanjut?

Tumpukan tautan, bagi mereka yang mencari detail lebih lanjut:


Garis waktu yang agak rinci dari peristiwa pengungkapan dapat ditemukan di Garis waktu pengungkapan Heartbleed: siapa yang tahu apa dan kapan.


Jika Anda seorang programmer dan tertarik dengan berbagai trik pemrograman seperti mendeteksi serangan Heartbleed melalui OpenSSL msg_cb panggil balik, lalu lihat OpenSSL Penasihat Keamanan 2014047.


118
2018-04-08 04:23



+1 untuk MENUTUP. TURUN. ANDA. PELAYANAN. * - Jika Anda melakukan APA SAJA di mana SSL benar-benar penting, matikan sampai Anda memperbaiki masalah. Juga jangan lupa untuk menginstal sertifikat baru (dengan kunci baru) setelah Anda menambal server Anda - menggunakan kembali kunci lama Anda (yang mungkin telah dikompromikan) mengalahkan seluruh tujuan menambal kerentanan ... - voretaq7
JUGA - restart layanan apa pun yang tertaut ke pustaka OpenSSL. Meningkatkan OpenSSL tanpa memulai ulang daemon Anda sama baiknya dengan tidak meningkatkan sama sekali. - EEAA
Memang - setelah segala jenis patch besar (seperti OpenSSL) Saya menganggapnya sebagai aturan yang baik untuk hanya me-reboot mesin untuk memastikan Anda tidak melewatkan apa pun. - voretaq7
Salah satu penguji telah bersumber terbuka: github.com/FiloSottile/Heartbleed - Riking
@EEAA, "mematikan server Anda" tidak berarti Anda harus menarik daya. Ini berarti mematikan (atau mengkonfigurasi ulang untuk menonaktifkan ssl / tls) apache, atau layanan apa pun yang melakukan penyajian. - psusi


Penjelasan sederhana tentang bug, oleh XKCD:

XKCD 1354


42
2018-04-08 07:28





Ubuntu 12.04, 12.10, dan 13.10

Ubuntu telah diterbitkan USN-2165-1, yang menyatakan bahwa paket yang diperbarui sekarang tersedia di arsip. Jalankan dua perintah berikut untuk mengambil perbaikan.

sudo apt-get update
sudo apt-get upgrade

Ubuntu 14.04

Saya telah mengunggah paket Debian yang berisi rilis baru (1.0.1g) ke PPA yang telah saya siapkan untuk tujuan ini. Ketiga perintah ini akan menambahkan PPA saya ke sistem Anda, memperbarui daftar paket yang tersedia, dan meningkatkan semuanya:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

Catatan: PPA juga menyediakan paket untuk Ubuntu 12.04 dan 13.10, kalau-kalau Anda lebih memilih untuk benar-benar menjalankan versi baru (1.0.1g) daripada hanya menggunakan versi tambalan di arsip.

Ubuntu 10.04

Ini adalah Versi LTS, versi server masih didukung dan menerima pembaruan keamanan. Tapi kerentanan heartbleed tidak mempengaruhi paket openssl dari instalasi standar ubuntu 10.04, karena versinya di bawah 1.0.1.

Versi desktop telah mencapai akhir masa pakai dan perlu ditingkatkan / dipasang kembali.

Ubuntu 13.04 dan versi usang lainnya

Ubuntu 13.04 memiliki siklus dukungan yang sangat singkat yang mungkin tidak Anda harapkan. Sudah mencapai akhir dari kehidupan dan tidak menerima pembaruan keamanan lagi. Seharusnya sudah lama ditingkatkan. Jika masih ada yang menggunakannya, harap tingkatkan sekarang, dari awal atau dapat ditingkatkan menjadi tidak merusak hingga 13.10 mengikuti prosedur mudah ini: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ Setelah upgrade, sistem menerima patch heartbleed dari 13.10.

Untuk semua versi ubuntu yang ketinggalan jaman, ini berarti bahwa instalasi baru diperlukan.

Verifikasi bahwa tambalan itu diterapkan

Pada dasarnya, jalankan openssl version -a dan pastikan tanggal pembuatan adalah 7 April 2014 atau lebih baru, tetapi lihat lebih lanjut sini.

Reboot

Cara terbaik untuk memastikan semua layanan yang bergantung pada OpenSSL direstart adalah reboot.


36
2018-04-08 10:37



Saya tidak dapat berbicara untuk versi lain, tetapi tampaknya ada patch yang tersedia untuk ketepatan (12.04). Meskipun saya tidak bisa mengatakan dengan pasti bahwa ini memperbaiki kerentanan, setidaknya dikompilasi setelah commit yang relevan (Mon Apr 7 20:31:55 UTC 2014). - Calrion
@Calrion: Patch untuk OpenSSL atau kemasan Debian untuk OpenSSL? OpenSSL telah diperbaiki dan rilis baru dikeluarkan. - Nathan Osman
apa yang akan terjadi pada koneksi yang ada saat opensl sedang diperbarui? akankah mereka dijatuhkan? - pdeva
Itu tergantung pada server web mana yang Anda gunakan dan bagaimana Anda memperbarui. Yang sedang berkata, saya tidak akan khawatir tentang menjatuhkan koneksi yang ada karena mereka menggunakan versi rentan. - Nathan Osman
14.04 sejak menerima patch. - Seth


RedHat 6.5 dan CentOS 6.5

Ini rentan. RedHat's erratum RHSA-2014-0376 mengatakan ada pustaka yang tersedia, dan siapa pun yang terpengaruh harus meningkatkan pada kesempatan paling awal.

Pada saat penulisan, CentOS belum memiliki versi tetap, tetapi Karanbir Singh memposting ke CentOS-announce mengatakan bahwa mereka telah menghasilkan versi terbaru dari openssl (openssl-1.0.1e-16.el6_5.4.0.1, perhatikan empat digit terakhir yang penting) yang memiliki perintah TLS yang dapat dieksploitasi dinonaktifkan, dan itu dapat diterapkan dengan aman karena akan ditimpa oleh versi tetap ketika akhirnya dirilis.

Versi sementara-tetap tampaknya belum berhasil masuk ke semua cermin, tetapi berada di repositori utama di http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (dan juga untuk i686).

Edit: seperti yang Iain katakan, sekarang ada tampaknya menjadi versi yang sepenuhnya ditambal untuk C6.5, dan tampaknya telah didorong di sekitar cermin dengan cepat. Yang lurus yum update mendapatkannya untuk server saya; nya openssl-1.0.1e-16.el6_5.7.

Versi RH6 dan C6 sebelum 6.5

Ini tidak rentan. Menurut penasehat ini dari Red Hat,

Masalah ini tidak memengaruhi versi opensl seperti yang dikirimkan bersama Red   Hat Enterprise Linux 5 dan Red Hat Enterprise Linux 6.4 dan sebelumnya.

Karanbir Singh memposting ke CentOS-announce juga jelas tentang versi:

Sebelumnya pada hari ini, kami dibuat sadar akan hal yang serius   masalah di openssl seperti dikirim di CentOS-6.5


14
2018-04-08 13:07



Tidak lists.centos.org/pipermail/centos-announce/2014-April/… pelepasan perbaikan? - Iain


Debian Wheezy

Debian telah diterbitkan DSA-2896-1 dan pustaka yang ditambal adalah Tersedia disini. Skrip shell adalah Tersedia disini.

1. Patch

Apt-get repository telah diupdate, jadi sekarang patched libraries tersedia melalui apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

Alternatif lain (tidak disarankan) paket dapat ditingkatkan secara manual:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. Restart server / layanan

Untuk perlindungan terbaik, restart seluruh server atau jika server tidak bisa offline, kemudian restart layanan yang diperlukan.

3. Periksa Versi OpenSSL

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



Jika Anda mendapatkan pembaruan dari wheezy/security maka Anda akan baik-baik saja apt-get update && apt-get upgrade. Atau, gunakan manajer paket interaktif untuk hanya memperbarui paket openssl, libssl1.0.0, libssl1.0.0-dbg dan libssl-dev (seperti yang diinstal pada sistem Anda). - α CVn
menggunakan apt-get tidak memperbaiki masalah bagi saya - masih menampilkan OpenSSL 1.0.1e 11 Feb 2013 - user568829
Terima kasih @ michael-kjorling, itu tidak tersedia ketika saya melakukan ini, tetapi ini cara yang paling aman dan tepat untuk meningkatkan. - jacksoncage
@ user568829 setelah menerapkan versi patch openssl akan tetap ditampilkan OpenSSL 1.0.1e 11 Feb 2013 sebagai patch disebut 1.0.1e-2. Anda dapat memeriksanya dpkg -l openssl dan itu harus menunjukkan versi 1.0.1e-2+deb7u6 - jacksoncage
Saya akan menyarankan memulai ulang tuan rumah setelah memperbarui OpenSSL, bukan karena itu sangat diperlukan tetapi untuk ketenangan pikiran bahwa setidaknya semua yang memuat pustaka OpenSSL secara dinamis menggunakan versi baru. (Terhubung secara statis adalah masalah lain.) Yang mengatakan, saya mengakui bahwa beberapa server tidak dapat dengan mudah di-reboot dalam semua situasi di mana layanan restart mungkin dapat diterima. - α CVn


Saya ingin menunjukkan bahwa kunci privat bukan satu-satunya aset yang harus dianggap dikompromikan. Bug itu berpotensi bocor apa saja memori berjalan di ruang alamat yang sama (yaitu, proses yang sama) sebagai OpenSSL. Oleh karena itu, jika Anda menjalankan proses server di mana versi rentan OpenSSL terhubung secara statis atau dinamis, informasi apa pun yang pernah ditangani proses itu, termasuk kata sandi, nomor kartu kredit, dan data pribadi lainnya, harus dianggap berpotensi dikompromikan.


9
2018-04-08 20:23





FreeBSD 10.0 atau openssl dari port

Itu Tim keamanan FreeBSD telah mengeluarkan nasihat tentang CVE-2014-0160 (alias "Heartbleed") dan: FreeBSD-SA-14: 06.openssl

  1. Memperbarui FreeBSD

    • Memperbarui FreeBSD melalui patch biner

      Sistem menjalankan a Versi rilis dari FreeBSD di i386 atau amd64 platform dapat diperbarui melalui utilitas freebsd-update (8):

      # freebsd-update fetch
      # freebsd-update install
      
    • Memperbarui FreeBSD dari sumbernya

      1. Unduh patch yang relevan dari lokasi di bawah ini, dan verifikasi memisahkan tanda PGP menggunakan utilitas PGP Anda.

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. Jalankan perintah berikut sebagai root:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. Mengkompilasi ulang sistem operasi

        menggunakan buildworld dan installworld seperti yang dijelaskan di Buku pegangan FreeBSD.

  2. Perbarui openssl port dengan versi minimum 1.0.1_10

  3. Restart semua daemon menggunakan pustaka, atau reboot sistem

  4. Bertindaklah seolah-olah sistem Anda telah disusupi, berikan kembali semua kunci ssl Anda dan / atau sertifikat dan informasi yang berpotensi bocor (lihat EEAA jawaban yang lebih umum).

FreeBSD 9.x dan FreeBSD 8.x

Sistem ini tidak rentan ke Heartbleed masalah secara default, karena mengandalkan versi 0.9.x yang lebih lama dari openssl Perpustakaan, kecuali kalau Anda menginstal openssl  dari pelabuhan (lihat di lantai atas).

Jika sistem ini tidak rentan terhadap Heartbleed masalah, mungkin bijaksana untuk meng-upgrade sistem Anda lebih cepat daripada nanti karena yang lain lokal kerentanan (lihat FreeBSD-SA-14: 06.openssl dan bagian "FreeBSD 10.0" di lantai atas):

Seorang penyerang lokal mungkin bisa mengintai proses penandatanganan dan mungkin pulih   kunci penandatanganan dari itu. [CVE-2014-0076]

Catatan:

Asli Heartbleed daftar penasihat FreeBSD 8.4 dan 9.1 sebagai berpotensi rentan. Ini tidak benar karena kurangnya Ekstensi Detak Jantung (default FreeBSD openssl library menjadi versi 0.9.x).


9
2018-04-11 08:03





Saya merasa tidak mungkin untuk menentukan versi SSL yang digunakan pada beberapa peralatan yang saya gunakan. Meskipun secara teknis tidak ada mitigasi karena ID host yang saat ini rentan berada di bagian atas daftar saya.

Saya mengumpulkan VM kecil yang akan melakukan pemeriksaan terhadap host dan port yang digunakan secara sembarangan Modul uji FiloSottile. Pada pandangan awal kode terlihat suara.

Peluncuran VM yang sudah selesai adalah sini. Ini dalam format VMX.

Kata-Kata Peringatan

Skrip ini dan VM akan hanya menunjukkan status sistem Anda saat ini. Sangat mungkin bahwa di beberapa titik di masa lalu sistem Anda berada dalam keadaan rentan dan mungkin telah disalahgunakan.

Sesuatu yang muncul di sini jelas merupakan prioritas utama untuk diperbaiki, tetapi memang benar tidak membebaskan Anda untuk menerapkan pembaruan dan mengubah semua kunci Anda.


3



Saya baru saja mendapat email dari Snapt, miliknya. BOLO (Tetap waspada) ! - Jacob


Amazon Linux (distro Linux yang digunakan di Amazon EC2)

https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

Ikhtisar Masalah: Pemeriksaan batas yang hilang ditemukan pada cara OpenSSL menangani paket ekstensi detak jantung TLS. Cacat ini dapat digunakan untuk mengungkapkan hingga 64k memori dari klien atau server yang terhubung.

Versi yang Terkena Dampak: Setiap Amazon Linux AMI yang terbuka 1.0.1 diinstal, yang mana adalah Amazon Linux AMI 2013.03 atau lebih baru, dan Amazon Linux AMI yang telah ditingkatkan ke 2013.03 atau lebih baru. OpenSSL diinstal secara default pada Amazon Linux AMI.

Paket yang Terkena Dampak: openssl

Koreksi Masalah: Jalankan pembaruan yum akan terbuka untuk memperbarui sistem Anda. Setelah paket baru diinstal, Anda harus secara manual me-restart semua layanan yang menggunakan openssl, atau Anda me-reboot instance Anda. Sementara paket baru masih bernama openssl-1.0.1e, paket ini berisi perbaikan untuk CVE-2014-0160.

Paket Baru: i686:

openssl-1.0.1e-37.66.amzn1.i686

openssl-static-1.0.1e-37.66.amzn1.i686

openssl-perl-1.0.1e-37.66.amzn1.i686

openssl-devel-1.0.1e-37.66.amzn1.i686

openssl-debuginfo-1.0.1e-37.66.amzn1.i686

x86_64:

openssl-devel-1.0.1e-37.66.amzn1.x86_64

openssl-1.0.1e-37.66.amzn1.x86_64

openssl-debuginfo-1.0.1e-37.66.amzn1.x86_64

openssl-perl-1.0.1e-37.66.amzn1.x86_64

openssl-static-1.0.1e-37.66.amzn1.x86_64

2