我跑了apt-get install openssl
并验证安装了新版本.1g
root@nyc2-04-www:~# apt-cache policy openssl
openssl:
Installed: 1.0.1g-1
Candidate: 1.0.1g-2
Version table:
1.0.1g-2 0
500 http://http.debian.net/debian/ sid/main amd64 Packages
*** 1.0.1g-1 0
100 /var/lib/dpkg/status
1.0.1e-2+deb7u6 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
1.0.1e-2+deb7u4 0
500 http://ftp.us.debian.org/debian/ wheezy/main amd64 Packages
500 http://http.debian.net/debian/ wheezy/main amd64 Packages
但是,我注意到即使安装了新的openssl,我的服务器仍然容易受到攻击,除非我做了一个完整的apt-get upgrade
见这里:http://filippo.io/Heartbleed/#www.uat.phantomjscloud.com
如何避免进行完整的apt-get升级,但确保使用新的openssl?
仅供参考我确实做过apt-get upgrade会解决问题(我在生产服务器上做过)但是我很清楚为什么更新openssl不够好。
仅供参考我使用的是nginx。之后我也做了apt-get install nginx,但这并没有解决问题
更新:正在运行openssl version -a表示 1.0.1f 仍处于有效状态,即使重启后也是如此。
答案 0 :(得分:1)
apt-get install libssl1.0.0修复了问题