হৃদয়যুক্ত: এটি কী এবং এটিকে প্রশমিত করার বিকল্পগুলি কী কী?


204

হার্টবেল্ড সুরক্ষা ইস্যুটি বোঝার এবং প্রতিকারের জন্য এটি একটি ক্যানোনিকাল প্রশ্ন

CVE-2014-0160 একে একে "হার্টবেল্ড" ঠিক কী? কারণ কী, ওপেনএসএসএল এর ওএস এবং সংস্করণগুলি কীভাবে দুর্বল, লক্ষণগুলি কী, সফল শোষণ সনাক্ত করার কোনও পদ্ধতি আছে কি?

আমার সিস্টেমটি প্রভাবিত হয়েছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি? কীভাবে এই দুর্বলতা হ্রাস করা যায়? আমার কী বা অন্যান্য ব্যক্তিগত ডেটা আপোষ করা হয়েছে তা নিয়ে কি আমাকে উদ্বিগ্ন হওয়া উচিত? আমার অন্যান্য কোন পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন হওয়া উচিত?


14
হার্টব্লিড জন্য প্রশমন জড়িত আরো শুধু নতুন কী চেয়ে । (তথ্য সুরক্ষা স্ট্যাক এক্সচেঞ্জে আমার উত্তরের লিঙ্ক)
-ডেল্টা

আমি আপনাকে শুনছি, তবে আমি মনে করি EEAA নীচে নীচে .াকা পড়েছে।
ম্যাডহ্যাটার

আমি সম্মত: এটি একটি দুর্দান্ত উত্তর, তবে হৃদয়যুক্ত ডটকম কেবল নতুন কী জোড় ছাড়িয়ে বিবেচনা রয়েছে তা উল্লেখ করার জন্য দুর্দান্ত চেষ্টা করে - যেমন পাসওয়ার্ড পরিবর্তন এবং সেশন অবৈধকরণ বাধ্য করা cing
স্কুজি-ডেল্টা

1
@ স্কজি-ডেল্টা - ভাল পয়েন্ট। আমি এখনই আমার উত্তর সিডাব্লু করে দিয়েছি, সুতরাং সেই তথ্য দিয়ে এটিকে সম্পাদনা / উন্নত করতে নির্দ্বিধায় থাকুন।
EEAA

3
এটি কীসের সর্বোত্তম উদাহরণ - (আশ্চর্যজনকভাবে) এক্স কেসিডি: xkcd.com/1354
ওয়েন ওয়ার্নার

উত্তর:


118

প্রথমত , প্রকাশ করার আগে, নিশ্চিত হয়ে নিন যে এই দুর্বলতা আসলে আপনার জন্য প্রযোজ্য কিনা। আপনার যদি কোনও সার্ভার থাকে তবে টিএলএস ব্যবহার করে আসলেই কখনও কোনও অ্যাপ্লিকেশন আসে নি, তবে এটি ঠিক করা আপনার পক্ষে উচ্চ-অগ্রাধিকারের জিনিস নয়। অন্যদিকে, যদি আপনার কাছে কখনও টিএলএস-সক্ষম অ্যাপ্লিকেশন থাকে তবে ভাল আপনি কোনও ট্রিটের জন্য রয়েছেন। পড়তে:

CVE-2014-0160 ওরফে "হৃদয়যুক্ত" ঠিক কী?

এটি একটি বড় ঝাঁকুনির ঝামেলা, এটাই what সংক্ষেপে, ওপেনএসএসএল সংস্করণে 1.0.1f থেকে একটি দূরবর্তীভাবে-ব্যবহারযোগ্য দুর্বলতা আবিষ্কার করা হয়েছিল যার মাধ্যমে আক্রমণকারী সিস্টেম মেমোরির কিছু অংশ পড়তে পারে। সেই অংশগুলি হ'ল সংবেদনশীল ডেটা যেমন ব্যক্তিগত কী, প্রিশেড কী, পাসওয়ার্ড এবং অন্যান্য বিষয়গুলির মধ্যে উচ্চ মূল্যবান কর্পোরেট ডেটা রয়েছে।

গুগল সুরক্ষা (মার্চ 21, 2014) এর নীল মেহতা এবং ফিনিশ আইটি সুরক্ষা পরীক্ষামূলক সংস্থা কোডেনমিকন (2 এপ্রিল, 2014) দ্বারা বাগটি স্বাধীনভাবে আবিষ্কার করা হয়েছিল।

কারণটা কি?

ওয়েল, ওপেনএসএসএল এ ভ্রান্ত কোড। এখানে কমিট যে দুর্বলতার চালু, এবং এখানে কমিট যে দুর্বলতার সংশোধন করা হয়েছে। বাগটি ২০১১ সালের ডিসেম্বরে প্রদর্শিত হয়েছিল এবং এটি আজ, was ই এপ্রিল, ২০১৪ প্যাচ করা হয়েছিল।

বাগটি আরও বড় সমস্যার লক্ষণ হিসাবে দেখা যায়। সম্পর্কিত দুটি সমস্যা হ'ল (১) ভুল কোডটি কোনও কোড বেজে চালু করা হয়নি তা নিশ্চিত করার জন্য কোন প্রক্রিয়া চলছে এবং (২) প্রোটোকল এবং এক্সটেনশানগুলি কেন এত জটিল এবং পরীক্ষা করা শক্ত। আইটেম (1) ওপেনএসএসএল এবং অন্যান্য অনেক প্রকল্পের সাথে পরিচালনা এবং প্রক্রিয়া সম্পর্কিত সমস্যা। অনেক বিকাশকারী কোড কোড রিভিউ, বিশ্লেষণ এবং স্ক্যান করার মতো অনুশীলনগুলিকে কেবল প্রতিরোধ করেন। আইইটিএফ এর টিএলএস ডাব্লু জিএস নিয়ে আইটেম (2) নিয়ে আলোচনা হচ্ছে। দেখুন হার্টব্লিড / প্রোটোকল জটিলতা

ত্রুটিযুক্ত কোডটি কি দূষিতভাবে inোকানো হয়েছিল?

এটি সত্যই কোনও ভুল ছিল বা কোনও খারাপ অভিনেতার পক্ষে সম্ভবত কিছুটা কোড পিছলে গেছে কিনা তা নিয়ে আমি অনুমান করব না। যাইহোক, যে ব্যক্তি ওপেনএসএসএল এর জন্য কোডটি বিকাশ করেছেন তা বলেছেন যে এটি অজান্তেই ছিল। ম্যান দেখুন যিনি গুরুতর 'হৃদয়গ্রাহী' সুরক্ষা ত্রুটি চালু করেছিলেন তা অস্বীকার করেছেন তিনি ইচ্ছাকৃতভাবে এটি sertedোকালেন

ওপেনএসএসএল এর কোন ওএস এবং সংস্করণগুলি দুর্বল?

উপরে উল্লিখিত হিসাবে, যে কোনও অপারেটিং সিস্টেম যা ব্যবহার করছে বা অ্যাপ্লিকেশন যা ওপেনএসএসএল 1.0.1 এর মাধ্যমে 1.0.1f এর সাথে লিঙ্কযুক্ত রয়েছে।

লক্ষণগুলি কী কী, কোনও সফল শোষণ সনাক্তকরণের কোনও পদ্ধতি কি?

এটি ভীতিজনক অংশ। আমরা যতদূর জানি, এই দুর্বলতাকে কাজে লাগানো হয়েছে কি না তা সনাক্ত করার কোনও সঠিক উপায় নেই। তাত্ত্বিকভাবে সম্ভব যে আইডিএস স্বাক্ষরগুলি শীঘ্রই প্রকাশ করা হবে যা এই শোষণটি সনাক্ত করতে পারে, তবে এই লেখার হিসাবে, সেগুলি পাওয়া যায় না।

এমন প্রমাণ রয়েছে যে, ২০১৪ সালের নভেম্বরের শুরুতেই হার্টবেল্ড সক্রিয়ভাবে বন্যে ব্যবহার করা হয়েছিল। EFF এর ওয়াইল্ড এ হার্ট দেখুন: গোয়েন্দা সংস্থাগুলি নভেম্বর 2013 এ হার্টলেবল ব্যবহার করেছিল? এবং ব্লুমবার্গ জানিয়েছে যে দুর্বলতা প্রবর্তনের খুব শীঘ্রই এনএসএ শোষণকে অস্ত্র প্রয়োগ করেছিল। বছরের পর বছর ধরে গোয়েন্দার জন্য হার্টলেবল বাগের শোষণ করতে এনএসএ বলেছিলেন দেখুন । তবে মার্কিন গোয়েন্দা সম্প্রদায় ব্লুমবার্গের দাবি অস্বীকার করেছে। দেখুন রেকর্ডে আইসি

আমার সিস্টেমটি প্রভাবিত হয়েছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি?

আপনি যদি আপনার সিস্টেমে ওপেনএসএসএল বজায় রাখছেন তবে আপনি কেবল ইস্যু করতে পারেন openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

তাহলে বন্টন দ্বারা OpenSSL বজায় রাখার করা হয়, তাহলে আপনি সম্ভবত দ্বারা OpenSSL সংস্করণ ফিরে ব্যবহার প্যাচিং কারণে নির্ধারণ করতে পারি না opensslআদেশ বা প্যাকেজ তথ্যের (উদাহরণস্বরূপ, apt-get, dpkg, yumবা rpm)। বেশিরভাগ (সমস্ত?) বিতরণগুলির দ্বারা ব্যবহৃত ব্যাক প্যাচিং প্রক্রিয়া কেবলমাত্র বেস সংস্করণ নম্বর ব্যবহার করে (উদাহরণস্বরূপ, "1.0.1e"); এবং কার্যকর সুরক্ষা সংস্করণ অন্তর্ভুক্ত করে না (উদাহরণস্বরূপ, "1.0.1g")।

যখন প্যাকেজগুলি ব্যাকপ্যাচ করা হয় তখন ওপেনএসএসএল এবং অন্যান্য প্যাকেজগুলির জন্য কার্যকর সুরক্ষা সংস্করণ নির্ধারণ করার জন্য সুপার ব্যবহারকারীর উপর একটি মুক্ত প্রশ্ন রয়েছে। দুর্ভাগ্যক্রমে, কোনও কার্যকর উত্তর নেই (ডিস্ট্রোর ওয়েবসাইট পরীক্ষা করা ব্যতীত)। দেখুন নির্ধারণ কার্যকরী নিরাপত্তা সংস্করণ যখন Backpatching সম্মুখীন

থাম্বের নিয়ম হিসাবে: আপনি যদি কখনও আক্রান্ত সংস্করণগুলির মধ্যে একটি ইনস্টল করে রেখেছেন এবং টিএলএস সহায়তার জন্য ওপেনএসএসএল এর সাথে লিঙ্কযুক্ত এমন কোনও প্রোগ্রাম বা পরিষেবাগুলি চালিয়ে গেছেন তবে আপনি ঝুঁকিপূর্ণ।

দুর্বলতার জন্য পরীক্ষা করার জন্য আমি কোথায় একটি প্রোগ্রাম পাব?

হার্টবেলড ঘোষণার কয়েক ঘণ্টার মধ্যেই ইন্টারনেটে বেশ কয়েকটি ব্যক্তি প্রকাশ্যে অ্যাক্সেসযোগ্য ওয়েব অ্যাপ্লিকেশনগুলি প্রচার করেছিলেন যা সম্ভবত এই দুর্বলতার উপস্থিতির জন্য কোনও সার্ভার পরীক্ষা করতে ব্যবহার করা যেতে পারে। এই লেখা হিসাবে, আমি কোনও পর্যালোচনা করি নি, তাই আমি তাদের অ্যাপ্লিকেশনগুলি আর প্রকাশ করব না। আপনার পছন্দসই সার্চ ইঞ্জিনের সাহায্যে এগুলি তুলনামূলকভাবে সহজেই পাওয়া যাবে।

এই দুর্বলতা কীভাবে হ্রাস করা যায়?

অ-দুর্বল সংস্করণে আপগ্রেড করুন এবং দুর্বল ডেটা পুনরায় সেট করুন বা সুরক্ষিত করুন। হার্টবেলড সাইটে উল্লিখিত হিসাবে , উপযুক্ত প্রতিক্রিয়া পদক্ষেপগুলি ব্যাপকভাবে:

  1. প্যাচ দুর্বল সিস্টেমগুলি।
  2. নতুন ব্যক্তিগত কী পুনরায় তৈরি করুন ne
  3. আপনার সিএতে নতুন সিএসআর জমা দিন।
  4. নতুন স্বাক্ষরিত শংসাপত্র প্রাপ্ত এবং ইনস্টল করুন।
  5. অবৈধ সেশন কী এবং কুকিজ
  6. পাসওয়ার্ড এবং ভাগ করা গোপনীয়তা পুনরায় সেট করুন
  7. পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।

আরও বিশদ বিশ্লেষণ এবং উত্তরের জন্য দেখুন একটি ওয়েবসাইট অপারেটর হৃদয়যুক্ত ওপেনএসএসএল শোষণ সম্পর্কে কী করা উচিত? সুরক্ষা স্ট্যাক এক্সচেঞ্জ এ।

আমার কী বা অন্যান্য ব্যক্তিগত ডেটা আপোষ করা হয়েছে তা নিয়ে কি আমাকে উদ্বিগ্ন হওয়া উচিত? আমার অন্যান্য কোন পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন হওয়া উচিত?

একেবারে। সিস্টেম অ্যাডমিনিস্ট্রেটররা ধরে নিতে হবে যে তাদের সার্ভারগুলি যা দুর্বল ওপেনএসএসএল সংস্করণগুলি ব্যবহার করেছে তা সত্যই আপস করে এবং তদনুসারে প্রতিক্রিয়া জানায়।

দুর্বলতা প্রকাশের অল্পক্ষণের পরে, ক্লাউডফেয়ার একটি চ্যালেঞ্জের প্রস্তাব দিয়েছিল যে কোনও সার্ভারের ব্যক্তিগত কী বাস্তবায়নে পুনরুদ্ধার করা যেতে পারে কিনা তা দেখার জন্য। চ্যালেঞ্জটি স্বাধীনভাবে ফেডর ইন্ডুতিনি এবং ইলকা মাতিলা জিতেছিলেন। দেখুন হার্টব্লিড চ্যালেঞ্জ

আমি আরও তথ্য কোথায় পেতে পারি?

লিঙ্ক ডাম্প, আরও বিশদ অনুসন্ধানের জন্য:


হৃদয়গ্রাহী প্রকাশের টাইমলাইনে প্রকাশের ইভেন্টগুলির পরিবর্তে একটি বিস্তারিত সময়রেখা পাওয়া যাবে : কে কখন এবং কখন জানত


আপনি যদি প্রোগ্রামার হন এবং ওপেনএসএসএলের msg_cbকলব্যাকের মাধ্যমে হার্টবেলড আক্রমণ সনাক্ত করার মতো বিভিন্ন প্রোগ্রামিংয়ের কৌশলগুলিতে আগ্রহী হন , তবে ওপেনএসএসএল এর সুরক্ষা উপদেষ্টা 2014047 দেখুন


42
শাট জন্য +1 নিচে। তোমার. সার্ভারস। * - এসএসএল সত্যই গুরুত্বপূর্ণ যেখানে আপনি যদি এমন কিছু করেন তবে সমস্যাটি সমাধান না করা পর্যন্ত এটি বন্ধ করে দিন। আপনার সার্ভারগুলি প্যাচ করার পরেও নতুন শংসাপত্রগুলি ( নতুন কীগুলির সাথে ) ইনস্টল করতে ভুলবেন না - আপনার পুরানো কীগুলি পুনরায় ব্যবহার (যা আপস করা হতে পারে) দুর্বলতার প্যাচ করার পুরো উদ্দেশ্যটি পরাস্ত করে ...
ভোরেটাক

29
এছাড়াও - ওপেনএসএসএল লাইব্রেরিতে লিঙ্কযুক্ত যে কোনও পরিষেবা পুনরায় চালু করুন rest আপনার ডেমনগুলি পুনরায় আরম্ভ না করেই ওপেনএসএসএল আপগ্রেড করা যতটা আপগ্রেড না করা তত ভাল।
EEAA

14
প্রকৃতপক্ষে - যে কোনও ধরণের বড় প্যাচ পরে (ওপেনএসএসএল) আপনি কোনও কিছুই মিস করবেন না তা নিশ্চিত করার জন্য কেবল মেশিনটিকে রিবুট করা ভাল নিয়ম হিসাবে বিবেচনা করি।
voretaq7

5
পরীক্ষকদের মধ্যে একজন ওপেন sourced হয়েছে: github.com/FiloSottile/Heartbleed
Riking

3
@EEAA, "আপনার সার্ভারগুলি বন্ধ করুন" এর অর্থ এই নয় যে আপনাকে শক্তি টানতে হবে। এটি শট ডাউন (বা এসএসএল / টিএলএস নিষ্ক্রিয় করতে পুনরায় কনফিগার করা) অ্যাপাচি, বা যে কোনও পরিষেবা পরিবেশন করছে।
psusi

42

এক্সকেসিডি দ্বারা বাগের একটি সহজ ব্যাখ্যা:

এক্সকেসিডি 1354


36

উবুন্টু 12.04, 12.10 এবং 13.10

উবুন্টু ইউএসএন -2165-1 জারি করেছে , যা আপডেট প্যাকেজগুলি এখন সংরক্ষণাগারগুলিতে উপলব্ধ। ফিক্সটি ধরতে নিম্নলিখিত দুটি কমান্ড চালান।

sudo apt-get update
sudo apt-get upgrade

উবুন্টু 14.04

এই উদ্দেশ্যে আমি সেট করা একটি পিপিএতে আমি নতুন রিলিজ (০.০.১ জি) সমন্বিত একটি ডেবিয়ান প্যাকেজ আপলোড করেছি। এই তিনটি কমান্ড আপনার সিস্টেমে আমার পিপিএ যুক্ত করবে, উপলব্ধ প্যাকেজগুলির তালিকা আপডেট করবে এবং সবকিছু আপগ্রেড করবে:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

দ্রষ্টব্য: পিপিএ উবুন্টু 12.04 এবং 13.10 এর জন্যও প্যাকেজ সরবরাহ করে, আপনি যদি সংরক্ষণাগারগুলিতে কেবল প্যাচযুক্ত সংস্করণ ব্যবহার না করে নতুন সংস্করণ (1.0.1g) চালানো পছন্দ করেন।

উবুন্টু 10.04

এটি একটি এলটিএস সংস্করণ, সার্ভার সংস্করণটি এখনও সমর্থিত এবং সুরক্ষা আপডেটগুলি গ্রহণ করে। তবে হৃদয়গ্রাহী দুর্বলতা উবুন্টু 10.04 এর একটি স্ট্যান্ডার্ড ইনস্টলেশনের ওপেনএসএল প্যাকেজকে প্রভাবিত করে না, কারণ সংস্করণটি 1.0.1 এর নীচে।

ডেস্কটপ সংস্করণটি জীবনের শেষ প্রান্তে পৌঁছেছে এবং আপগ্রেড / পুনরায় ইনস্টল করা দরকার।

উবুন্টু 13.04 এবং অন্যান্য পুরানো সংস্করণ

উবুন্টু 13.04 এর একটি খুব ছোট সমর্থন চক্র ছিল যা আপনি আশা করতে পারেন না। এটি ইতিমধ্যে জীবনের শেষ পর্যায়ে পৌঁছেছে এবং সুরক্ষা আপডেটগুলি আর পায় না। এটি দীর্ঘ আপগ্রেড করা উচিত ছিল। এখনও যদি কেউ এটি ব্যবহার করে থাকে তবে দয়া করে এখনই আপগ্রেড করুন, হয় স্ক্র্যাচ থেকে শুরু করুন বা এটি সহজ পদ্ধতি অনুসরণ করে 13.10 এ অ-ধ্বংসাত্মক করে উন্নীত করা যেতে পারে: http://www.tecmint.com / আপগ্রেড-বুন্টু 13-04-raring-ringtail -to-ubuntu-13-10-saucy-salamander / আপগ্রেড করার পরে সিস্টেমটি 13.10 থেকে হৃদয়যুক্ত প্যাচটি গ্রহণ করবে।

অন্যান্য সমস্ত পুরানো উবুন্টু সংস্করণের জন্য এর অর্থ মূলত একটি নতুন ইনস্টল করা প্রয়োজন।

প্যাচ প্রয়োগ করা হয়েছিল তা যাচাই করুন

মূলত, চালান openssl version -aএবং এটি নির্ধারণ করুন যে বিল্ডের তারিখটি এপ্রিল 7, 2014 বা তার পরের, তবে এখানে আরও দেখুন ।

রিবুট

ওপেনএসএসএল-এর উপর নির্ভর করে সমস্ত পরিষেবা পুনরায় চালু হয়েছে তা নিশ্চিত করার সর্বোত্তম উপায় হ'ল পুনরায় বুট করা


আমি অন্যান্য সংস্করণগুলির জন্য কথা বলতে পারি না, তবে এখানে একটি প্যাচ সুনির্দিষ্টভাবে উপলব্ধ রয়েছে (12.04)। যদিও আমি নিশ্চিতভাবে বলতে পারি না যে এটি দুর্বলতা সংশোধন করে, এটি কমপক্ষে প্রাসঙ্গিক কমিট ( Mon Apr 7 20:31:55 UTC 2014) এর পরে সংকলিত হয়েছিল ।
ক্যালারিওন

@ ক্যালরিয়ন: ওপেনএসএসএল এর জন্য একটি প্যাচ বা ওপেনএসএসএল-এর জন্য ডেবিয়ান প্যাকেজিং? ওপেনএসএসএল ইতিমধ্যে ঠিক করা হয়েছে এবং একটি নতুন রিলিজ জারি করা হয়েছে।
নাথান ওসমান

ওপেনসেল আপডেট হওয়ার সময় বিদ্যমান সংযোগগুলির কী হবে? তাদের বাদ দেওয়া হবে?
pdeva

2
এটি নির্ভর করে আপনি কোন ওয়েব সার্ভারটি ব্যবহার করছেন এবং কীভাবে আপনি আপডেট করবেন। বলা হচ্ছে, বিদ্যমান সংযোগগুলি বাদ দেওয়ার বিষয়ে আমি উদ্বিগ্ন হব না কারণ তারা দুর্বল সংস্করণটি ব্যবহার করছে।
নাথান ওসমান


14

রেডহ্যাট 6.5 এবং সেন্টোজ 6.5

এগুলি দুর্বল। রেডহ্যাট এর ইরটাম আরএইচএসএ-২০১৪-০3766 বলছে এখানে প্যাচযুক্ত লাইব্রেরি রয়েছে এবং ক্ষতিগ্রস্থ যে কোনও ব্যক্তিকে প্রাথমিক পর্যায়ে আপগ্রেড করতে হবে।

লেখার সময়, সেন্টোসের এখনও একটি নির্দিষ্ট সংস্করণ ছিল না, তবে করণবীর সিং-এর সেন্টোস-ঘোষণায় পোস্ট করা হয়েছে যে তারা ওপেনসেলের একটি আপডেট সংস্করণ তৈরি করেছে ( openssl-1.0.1e-16.el6_5.4.0.1, শেষ চারটি সংখ্যাটি গুরুত্বপূর্ণ যা নোট করুন) যেটি শোষণমূলক টিএলএস রয়েছে কমান্ড অক্ষম করা হয়েছে, এবং এটি নিরাপদে প্রয়োগ করা যেতে পারে কারণ শেষ পর্যন্ত এটি প্রকাশিত হওয়ার পরে এটি কোনও নির্দিষ্ট সংস্করণে ওভাররাইট করা হবে।

অস্থায়ীভাবে সংশোধিত সংস্করণটি এখনও সমস্ত আয়নাতে পরিণত করেছে বলে মনে হয় না তবে এটি http://mirror.centos.org/centos/6/updates/x86_64/Packages/ এ মূল সংগ্রহস্থলে রয়েছে (এবং একইভাবে এর জন্য i686)।

সম্পাদনা : আইয়েন যেমন বলেছে, সেখানে এখন সি 6.5 এর পুরোপুরি সংস্করণ বলে মনে হচ্ছে এবং তাড়াহুড়ো করে মনে হচ্ছে এটি আয়নাগুলির চারপাশে ঠেলে দেওয়া হয়েছে। yum updateআমার সার্ভারগুলির জন্য সরাসরি এটি পেয়েছিল; এটা openssl-1.0.1e-16.el6_5.7

6.5 এর আগে আরএইচ 6 এবং সি 6 এর সংস্করণ

এগুলি দুর্বল নয়। রেড হ্যাট থেকে প্রাপ্ত এই পরামর্শ অনুসারে ,

এই সমস্যাটি ওপেনসেলের সংস্করণগুলিকে রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 5 এবং রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 6.4 এবং তার আগের সংস্করণগুলিতে প্রভাব ফেলেনি।

করণবীর সিংয়ের সেন্টোস-ঘোষণায় পোস্ট করা সংস্করণ সম্পর্কে সমানভাবে স্পষ্ট:

আজকের আগের দিন, সেন্টোস-6.৫-এ প্রেরণে ওপেনসেল-এর একটি গুরুতর সমস্যা সম্পর্কে আমাদের সচেতন করা হয়েছিল



13

দেবিয়ান হুইজি

ডেবিয়ান issed করেছে জেলাকে-2896-1 এবং patched লাইব্রেরি হয় এখানে পাওয়া যায় । একটি শেল স্ক্রিপ্ট এখানে উপলব্ধ

1. প্যাচ

অ্যাপেট-গেট সংগ্রহস্থল আপডেট করা হয়েছিল তাই এখন প্যাচযুক্ত লাইব্রেরিগুলি এর মাধ্যমে পাওয়া যায় apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

বিকল্পভাবে (প্রস্তাবিত নয়) প্যাকেজগুলি ম্যানুয়ালি আপগ্রেড করা যেতে পারে:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

২. সার্ভার / পরিষেবাদি পুনরায় চালু করুন

সর্বোত্তম সুরক্ষার জন্য পুরো সার্ভারটি পুনরায় চালু করুন বা সার্ভার অফলাইনে না থাকলে প্রয়োজনীয় পরিষেবাগুলি পুনরায় আরম্ভ করুন।

৩. ওপেনএসএসএল সংস্করণ পরীক্ষা করুন

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

1
যদি আপনি wheezy/securityতখন থেকে আপডেটগুলি পান তবে আপনি ভাল হবেন apt-get update && apt-get upgrade। অথবা, শুধুমাত্র প্যাকেজ আপডেট করার জন্য একটি ইন্টারেক্টিভ প্যাকেজ ম্যানেজার ব্যবহার openssl, libssl1.0.0, libssl1.0.0-dbgএবং libssl-dev(যেমন আপনার সিস্টেমে ইনস্টল করা)।
সিভিএন

এপটি-গেট ব্যবহার করা আমার সমস্যার সমাধান করে না - এখনও ওপেনএসএসএল দেখায় 1.0.1e 11 ফেব্রুয়ারী 2013
ব্যবহারকারীর 568829

ধন্যবাদ @ মাইকেল-কোজরলিং, এটি করার সময় এটি উপলব্ধ ছিল না তবে এটি আপগ্রেড করার সবচেয়ে সুরক্ষিত এবং সঠিক উপায়।
জ্যাকসনকেজ

2
@ user568829 প্যাচ প্রয়োগের পরে ওপেনএসএল সংস্করণটি OpenSSL 1.0.1e 11 Feb 2013প্যাচটিকে 1.0.1e-2 বলা হওয়ায় এখনও দেখাবে । আপনি যাচাই করতে পারেন dpkg -l opensslএবং এটি সংস্করণটি দেখানো উচিত1.0.1e-2+deb7u6
জ্যাকসনকেজ

2
আমি ওপেনএসএসএল আপডেট করার পরে হোস্টটিকে পুনরায় চালু করার পরামর্শ দিচ্ছি, এটি কঠোরভাবে প্রয়োজন বলে নয়, তবে মানসিক শান্তির জন্য যে ওপেনএসএসএল লাইব্রেরিগুলি গতিশীলভাবে লোড করে এমন কমপক্ষে প্রতিটি জিনিসই নতুন সংস্করণটি ব্যবহার করছে। (স্ট্যাটিকালি লিঙ্ক করা অন্য বিষয়)) এটি বলেছিল, আমি স্বীকার করেছি যে কিছু সার্ভার সহজেই সমস্ত পরিস্থিতিতে পুনরায় চালু করা যায় না যেখানে কোনও পরিষেবা পুনরায় চালু গ্রহণযোগ্য হতে পারে।
একটি সিএনএন

9

আমি উল্লেখ করতে চাই যে ব্যক্তিগত কীগুলি কেবলমাত্র সম্পদ নয় যেগুলি আপোস হিসাবে বিবেচনা করা উচিত। বাগের ওপেনএসএসএল হিসাবে একই ঠিকানা স্পেসে (যেমন, একই প্রক্রিয়া) চলমান যে কোনও মেমরি ফাঁস হওয়ার সম্ভাবনা রয়েছে । অতএব, আপনি যদি এমন কোনও সার্ভার প্রক্রিয়া চালিয়ে যাচ্ছেন যেখানে ওপেনএসএসএলটির একটি দুর্বল সংস্করণটি স্থিতিশীল বা গতিশীলভাবে সংযুক্ত রয়েছে, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর এবং অন্যান্য ব্যক্তিগত ডেটা সহ যে প্রক্রিয়াটি কখনও পরিচালিত হয়েছে এমন কোনও তথ্যের অংশটিকে সম্ভাব্য আপোস হিসাবে বিবেচনা করা উচিত।


9

FreeBSD 'র 10.0 বা OpenSSL পোর্ট থেকে

FreeBSD 'র নিরাপত্তা দল : জন্য CVE-2014-0160 (ওরফে "হার্টব্লিড") এবং সংক্রান্ত একটি উপদেষ্টা জারি করেছে FreeBSD' র-এসএ-14: 06.openssl

  1. ফ্রিবিএসডি আপডেট করা হচ্ছে

    • বাইনারি প্যাচের মাধ্যমে ফ্রিবিএসডি আপডেট করা হচ্ছে

      আইবি 386 বা এমডি 64 প্ল্যাটফর্মে ফ্রিবিএসডি-র একটি রিলিজ সংস্করণ চলছে এমন সিস্টেমগুলি ফ্রিবিএসডি -আপডেট (8) ইউটিলিটির মাধ্যমে আপডেট করা যেতে পারে:

      # freebsd-update fetch
      # freebsd-update install
      
    • উত্স থেকে ফ্রিবিএসডি আপডেট করা হচ্ছে

      1. নীচের অবস্থান থেকে প্রাসঙ্গিক প্যাচটি ডাউনলোড করুন এবং আপনার পিজিপি ইউটিলিটি ব্যবহার করে বিচ্ছিন্ন পিজিপি স্বাক্ষরটি যাচাই করুন।

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. নিম্নলিখিত কমান্ডগুলি রুট হিসাবে প্রয়োগ করুন:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. অপারেটিং সিস্টেমটি পুনরায় কম্পাইল করুন

        ফ্রিবিএসডি হ্যান্ডবুকে বর্ণিত বিল্ডওয়ার্ড এবং ইনস্টলওয়ার্ল্ড ব্যবহার করা ।

  2. আপডেট করুন OpenSSL ন্যূনতম সংস্করণের সাথে বন্দর 1.0.1_10

  3. লাইব্রেরী ব্যবহার করে সমস্ত ডিমন পুনরায় চালু করুন বা সিস্টেমটি পুনরায় বুট করুন

  4. আপনার সিস্টেমের সাথে আপোস করা হয়েছে এমন আচরণ করুন, আপনার সমস্ত এসএসএল কী এবং / অথবা শংসাপত্র এবং সম্ভাব্যভাবে ফাঁস হওয়া তথ্য পুনরায় ইস্যু করুন ( EEAA আরও সাধারণ উত্তর দেখুন)।

ফ্রিবিএসডি 9.x এবং ফ্রিবিএসডি 8.x

এই সিস্টেম দ্বারা প্রবন না করতে হার্টব্লিড পুরোনো 0.9.x সংস্করণ উপর নির্ভর করে, ডিফল্টরূপে ইস্যু OpenSSL , পাঠাগার , যদি না আপনি ইনস্টল OpenSSL পোর্ট থেকে (উপরে দেখুন)।

যদি এই সিস্টেমগুলি হার্টবেল্ড ইস্যুতে ঝুঁকিপূর্ণ না হয় তবে অন্য স্থানীয় দুর্বলতার কারণে আপনার সিস্টেমটি আপাতত উন্নত করা বুদ্ধিমানের কাজ হতে পারে ( ফ্রিবিএসডি-এসএ-১৪: 06.পেনসেল এবং "ফ্রিবিএসডি 10.0" বিভাগটি উপরের দিকে দেখুন):

স্থানীয় আক্রমণকারী একটি স্বাক্ষরকরণ প্রক্রিয়া স্নুপ করতে সক্ষম হতে পারে এবং এটি থেকে স্বাক্ষর কীটি পুনরুদ্ধার করতে পারে। [জন্য CVE-2014-0076]

দ্রষ্টব্য :

আসল হার্টবেল্ড অ্যাডভাইজরিটি ফ্রিবিএসডি 8.4 এবং 9.1 কে সম্ভাব্য দুর্বল হিসাবে তালিকাবদ্ধ করে। হার্টবিট এক্সটেনশনের অভাবের কারণে এটি সত্য নয় (ডিফল্ট ফ্রিবিএসডি ওপেনসেল লাইব্রেরি সংস্করণ ০.৯.এক্স)।


3

আমি কাজ করি এমন বেশ কয়েকটি অ্যাপ্লিকেশনগুলিতে SSL এর সংস্করণগুলি নির্ধারণ করা অসম্ভবের পাশে পেয়েছি। যদিও এটি প্রযুক্তিগতভাবে নয় তবে বর্তমানে দুর্বল হোস্টগুলিকে আইডি করতে সক্ষম হওয়া আমার তালিকার শীর্ষে ছিল।

আমি একটি ছোট ভিএম একসাথে রেখেছি যা ফিলোসটাইল পরীক্ষার মডিউলটি ব্যবহার করে স্বেচ্ছাসেবক হোস্ট এবং বন্দরগুলির বিরুদ্ধে চেক সম্পাদন করবে । প্রাথমিক নজরে কোডটি দুর্দান্ত দেখায়।

সম্পন্ন ভিএম-এর মুক্তি এখানে । এটি ভিএমএক্স ফর্ম্যাটে।

সতর্কতা শব্দ

এই স্ক্রিপ্ট এবং ভিএম কেবলমাত্র আপনার সিস্টেমের বর্তমান অবস্থা প্রদর্শন করবে । এটি সম্পূর্ণরূপে সম্ভব যে অতীতের কোনও এক সময় আপনার সিস্টেমগুলি দুর্বল অবস্থায় ছিল এবং অপব্যবহার করা যেতে পারে।

এখানে কিছু প্রদর্শিত হচ্ছে তা সংশোধন করার পক্ষে অবশ্যই একটি উচ্চ অগ্রাধিকার তবে এটি আপডেট প্রয়োগ এবং আপনার সমস্ত কীগুলি পরিবর্তনের জন্য আপনাকে হুক থেকে সরিয়ে দেয় না


আমি স্ন্যাপ থেকে একটি ইমেল পেয়েছি, এটি তাদের। বোলো (নজরদারিতে থাকুন) !
জ্যাকব

2

আমাজন লিনাক্স (অ্যামাজন ইসি 2 তে লিনাক্স ডিস্ট্রো ব্যবহৃত হয়)

https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

ইস্যুর ওভারভিউ: ওপেনএসএসএল টিএলএস হার্টবিট এক্সটেনশন প্যাকেটগুলি যেভাবে পরিচালনা করেছে তা খুঁজে পাওয়া যায় নি। এই ত্রুটিটি কোনও সংযুক্ত ক্লায়েন্ট বা সার্ভার থেকে 64k মেমরি পর্যন্ত প্রকাশ করতে ব্যবহৃত হতে পারে।

প্রভাবিত সংস্করণ: যে কোনও অ্যামাজন লিনাক্স এএমআই যার উপর ওপেনসেল ১.০.১ ইনস্টল করা আছে, এটি যে কোনও অ্যামাজন লিনাক্স এএমআই 2013.03 বা তার পরে এবং যে কোনও অ্যামাজন লিনাক্স এএমআই 2013-03 বা তার পরে উন্নীত হয়েছে। ওপেনএসএসএলটি অ্যামাজন লিনাক্স এএমআই-তে ডিফল্টরূপে ইনস্টল করা হয়।

আক্রান্ত প্যাকেজগুলি: ওপেনসেল

সমস্যা সংশোধন: আপনার সিস্টেম আপডেট করতে yum আপডেট ওপেনসেল চালান। নতুন প্যাকেজটি ইনস্টল হয়ে গেলে, আপনার প্রয়োজন হয় ওপেনএসএল ব্যবহার করা সমস্ত পরিষেবা ম্যানুয়ালি পুনরায় চালু করতে হবে, বা আপনার ইনস্টলটি পুনরায় বুট করতে হবে। নতুন প্যাকেজটির এখনও ওপেনসেল -১.০.১ এর নামকরণ করা হয়েছে, এতে সিভিই -২০১ .-১০60০ এর ফিক্স রয়েছে।

নতুন প্যাকেজগুলি: i686:

openssl-1.0.1e-37.66.amzn1.i686

openssl-static-1.0.1e-37.66.amzn1.i686

openssl-perl-1.0.1e-37.66.amzn1.i686

openssl-devel-1.0.1e-37.66.amzn1.i686

openssl-debuginfo-1.0.1e-37.66.amzn1.i686

, x86_64:

openssl-devel-1.0.1e-37.66.amzn1.x86_64

openssl-1.0.1e-37.66.amzn1.x86_64

openssl-debuginfo-1.0.1e-37.66.amzn1.x86_64

openssl-perl-1.0.1e-37.66.amzn1.x86_64

openssl-static-1.0.1e-37.66.amzn1.x86_64
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.