Как установить уязвимую версию OpenSSL на сервере Linux?
Я хотел бы скомпилировать и установить Heartbleed-уязвимую версию OpenSSL на сервере, который я настраиваю для проблемы безопасности в Интернете команды (так как они не доступны для установки из репозитория Ubuntu по очевидным причинам).
Я загрузил и скомпилировал из источника OpenSSL 1.0.1f с помощью предоставленных инструкций (выполненный ./config, затем make и make install), и попробованный для выполнения открыто доступной POC Heartbleed из GitHub от моего ПК однако сценарий является notfying меня, что никакой ответ heartbeat не был получен, и сервер вероятен не уязвимый.
Выполнение openssl version производит следующий вывод: OpenSSL 1.0.1f 6 января 2014. Я установил сертификат SSL, конечно, и работы доступа SSL над сервером.
OpenSSL установлен для работы с Apache 2.4.7.
Кто-либо может помочь?
Здесь могут происходить две вещи:
Простой "./configure; make; make install" по умолчанию помещает разделяемые библиотеки в
/ usr / local / lib. Однако библиотеки, установленные системой, будут находиться в/ usr / lib, что находится раньше в пути поиска библиотек. Если вы не удалите установленную в системе версию OpenSSL, уязвимая версия не будет найдена.Даже если вы перезаписываете системные библиотеки, изменение не будет принято до тех пор, пока вы не перезапустите Apache. Удаленные файлы остаются доступными (и занимают место на диске) до тех пор, пока все программы, у которых есть открытые дескрипторы файлов, не закроют эти дескрипторы.
Какое серверное программное обеспечение используется?
Несмотря на уязвимость двоичного файла OpenSSL, установленный веб-сервер из пакета ОС, скорее всего, будет использовать версию библиотеки, которая не является уязвимой.
] Самым простым способом запустить уязвимый слушатель будет openssl s_server - если вам нужен полноценный веб-сервер, чтобы быть уязвимым, вам, вероятно, придется скомпилировать его с уязвимым OpenSSL.