হার্টবেল্ড সুরক্ষা ইস্যুটি বোঝার এবং প্রতিকারের জন্য এটি একটি ক্যানোনিকাল প্রশ্ন ।

CVE-2014-0160 একে একে "হার্টবেল্ড" ঠিক কী? কারণ কী, ওপেনএসএসএল এর ওএস এবং সংস্করণগুলি কীভাবে দুর্বল, লক্ষণগুলি কী, সফল শোষণ সনাক্ত করার কোনও পদ্ধতি আছে কি?

আমার সিস্টেমটি প্রভাবিত হয়েছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি? কীভাবে এই দুর্বলতা হ্রাস করা যায়? আমার কী বা অন্যান্য ব্যক্তিগত ডেটা আপোষ করা হয়েছে তা নিয়ে কি আমাকে উদ্বিগ্ন হওয়া উচিত? আমার অন্যান্য কোন পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন হওয়া উচিত?

প্রথমত , প্রকাশ করার আগে, নিশ্চিত হয়ে নিন যে এই দুর্বলতা আসলে আপনার জন্য প্রযোজ্য কিনা। আপনার যদি কোনও সার্ভার থাকে তবে টিএলএস ব্যবহার করে আসলেই কখনও কোনও অ্যাপ্লিকেশন আসে নি, তবে এটি ঠিক করা আপনার পক্ষে উচ্চ-অগ্রাধিকারের জিনিস নয়। অন্যদিকে, যদি আপনার কাছে কখনও টিএলএস-সক্ষম অ্যাপ্লিকেশন থাকে তবে ভাল আপনি কোনও ট্রিটের জন্য রয়েছেন। পড়তে:

CVE-2014-0160 ওরফে "হৃদয়যুক্ত" ঠিক কী?

এটি একটি বড় ঝাঁকুনির ঝামেলা, এটাই what সংক্ষেপে, ওপেনএসএসএল সংস্করণে 1.0.1f থেকে একটি দূরবর্তীভাবে-ব্যবহারযোগ্য দুর্বলতা আবিষ্কার করা হয়েছিল যার মাধ্যমে আক্রমণকারী সিস্টেম মেমোরির কিছু অংশ পড়তে পারে। সেই অংশগুলি হ'ল সংবেদনশীল ডেটা যেমন ব্যক্তিগত কী, প্রিশেড কী, পাসওয়ার্ড এবং অন্যান্য বিষয়গুলির মধ্যে উচ্চ মূল্যবান কর্পোরেট ডেটা রয়েছে।

গুগল সুরক্ষা (মার্চ 21, 2014) এর নীল মেহতা এবং ফিনিশ আইটি সুরক্ষা পরীক্ষামূলক সংস্থা কোডেনমিকন (2 এপ্রিল, 2014) দ্বারা বাগটি স্বাধীনভাবে আবিষ্কার করা হয়েছিল।

কারণটা কি?

ওয়েল, ওপেনএসএসএল এ ভ্রান্ত কোড। এখানে কমিট যে দুর্বলতার চালু, এবং এখানে কমিট যে দুর্বলতার সংশোধন করা হয়েছে। বাগটি ২০১১ সালের ডিসেম্বরে প্রদর্শিত হয়েছিল এবং এটি আজ, was ই এপ্রিল, ২০১৪ প্যাচ করা হয়েছিল।

বাগটি আরও বড় সমস্যার লক্ষণ হিসাবে দেখা যায়। সম্পর্কিত দুটি সমস্যা হ'ল (১) ভুল কোডটি কোনও কোড বেজে চালু করা হয়নি তা নিশ্চিত করার জন্য কোন প্রক্রিয়া চলছে এবং (২) প্রোটোকল এবং এক্সটেনশানগুলি কেন এত জটিল এবং পরীক্ষা করা শক্ত। আইটেম (1) ওপেনএসএসএল এবং অন্যান্য অনেক প্রকল্পের সাথে পরিচালনা এবং প্রক্রিয়া সম্পর্কিত সমস্যা। অনেক বিকাশকারী কোড কোড রিভিউ, বিশ্লেষণ এবং স্ক্যান করার মতো অনুশীলনগুলিকে কেবল প্রতিরোধ করেন। আইইটিএফ এর টিএলএস ডাব্লু জিএস নিয়ে আইটেম (2) নিয়ে আলোচনা হচ্ছে। দেখুন হার্টব্লিড / প্রোটোকল জটিলতা ।

ত্রুটিযুক্ত কোডটি কি দূষিতভাবে inোকানো হয়েছিল?

এটি সত্যই কোনও ভুল ছিল বা কোনও খারাপ অভিনেতার পক্ষে সম্ভবত কিছুটা কোড পিছলে গেছে কিনা তা নিয়ে আমি অনুমান করব না। যাইহোক, যে ব্যক্তি ওপেনএসএসএল এর জন্য কোডটি বিকাশ করেছেন তা বলেছেন যে এটি অজান্তেই ছিল। ম্যান দেখুন যিনি গুরুতর 'হৃদয়গ্রাহী' সুরক্ষা ত্রুটি চালু করেছিলেন তা অস্বীকার করেছেন তিনি ইচ্ছাকৃতভাবে এটি sertedোকালেন ।

ওপেনএসএসএল এর কোন ওএস এবং সংস্করণগুলি দুর্বল?

উপরে উল্লিখিত হিসাবে, যে কোনও অপারেটিং সিস্টেম যা ব্যবহার করছে বা অ্যাপ্লিকেশন যা ওপেনএসএসএল 1.0.1 এর মাধ্যমে 1.0.1f এর সাথে লিঙ্কযুক্ত রয়েছে।

লক্ষণগুলি কী কী, কোনও সফল শোষণ সনাক্তকরণের কোনও পদ্ধতি কি?

এটি ভীতিজনক অংশ। আমরা যতদূর জানি, এই দুর্বলতাকে কাজে লাগানো হয়েছে কি না তা সনাক্ত করার কোনও সঠিক উপায় নেই। তাত্ত্বিকভাবে সম্ভব যে আইডিএস স্বাক্ষরগুলি শীঘ্রই প্রকাশ করা হবে যা এই শোষণটি সনাক্ত করতে পারে, তবে এই লেখার হিসাবে, সেগুলি পাওয়া যায় না।

এমন প্রমাণ রয়েছে যে, ২০১৪ সালের নভেম্বরের শুরুতেই হার্টবেল্ড সক্রিয়ভাবে বন্যে ব্যবহার করা হয়েছিল। EFF এর ওয়াইল্ড এ হার্ট দেখুন: গোয়েন্দা সংস্থাগুলি নভেম্বর 2013 এ হার্টলেবল ব্যবহার করেছিল? এবং ব্লুমবার্গ জানিয়েছে যে দুর্বলতা প্রবর্তনের খুব শীঘ্রই এনএসএ শোষণকে অস্ত্র প্রয়োগ করেছিল। বছরের পর বছর ধরে গোয়েন্দার জন্য হার্টলেবল বাগের শোষণ করতে এনএসএ বলেছিলেন দেখুন । তবে মার্কিন গোয়েন্দা সম্প্রদায় ব্লুমবার্গের দাবি অস্বীকার করেছে। দেখুন রেকর্ডে আইসি ।

আমার সিস্টেমটি প্রভাবিত হয়েছে কিনা তা আমি কীভাবে পরীক্ষা করতে পারি?

আপনি যদি আপনার সিস্টেমে ওপেনএসএসএল বজায় রাখছেন তবে আপনি কেবল ইস্যু করতে পারেন openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

তাহলে বন্টন দ্বারা OpenSSL বজায় রাখার করা হয়, তাহলে আপনি সম্ভবত দ্বারা OpenSSL সংস্করণ ফিরে ব্যবহার প্যাচিং কারণে নির্ধারণ করতে পারি না opensslআদেশ বা প্যাকেজ তথ্যের (উদাহরণস্বরূপ, apt-get, dpkg, yumবা rpm)। বেশিরভাগ (সমস্ত?) বিতরণগুলির দ্বারা ব্যবহৃত ব্যাক প্যাচিং প্রক্রিয়া কেবলমাত্র বেস সংস্করণ নম্বর ব্যবহার করে (উদাহরণস্বরূপ, "1.0.1e"); এবং কার্যকর সুরক্ষা সংস্করণ অন্তর্ভুক্ত করে না (উদাহরণস্বরূপ, "1.0.1g")।

যখন প্যাকেজগুলি ব্যাকপ্যাচ করা হয় তখন ওপেনএসএসএল এবং অন্যান্য প্যাকেজগুলির জন্য কার্যকর সুরক্ষা সংস্করণ নির্ধারণ করার জন্য সুপার ব্যবহারকারীর উপর একটি মুক্ত প্রশ্ন রয়েছে। দুর্ভাগ্যক্রমে, কোনও কার্যকর উত্তর নেই (ডিস্ট্রোর ওয়েবসাইট পরীক্ষা করা ব্যতীত)। দেখুন নির্ধারণ কার্যকরী নিরাপত্তা সংস্করণ যখন Backpatching সম্মুখীন ।

থাম্বের নিয়ম হিসাবে: আপনি যদি কখনও আক্রান্ত সংস্করণগুলির মধ্যে একটি ইনস্টল করে রেখেছেন এবং টিএলএস সহায়তার জন্য ওপেনএসএসএল এর সাথে লিঙ্কযুক্ত এমন কোনও প্রোগ্রাম বা পরিষেবাগুলি চালিয়ে গেছেন তবে আপনি ঝুঁকিপূর্ণ।

দুর্বলতার জন্য পরীক্ষা করার জন্য আমি কোথায় একটি প্রোগ্রাম পাব?

হার্টবেলড ঘোষণার কয়েক ঘণ্টার মধ্যেই ইন্টারনেটে বেশ কয়েকটি ব্যক্তি প্রকাশ্যে অ্যাক্সেসযোগ্য ওয়েব অ্যাপ্লিকেশনগুলি প্রচার করেছিলেন যা সম্ভবত এই দুর্বলতার উপস্থিতির জন্য কোনও সার্ভার পরীক্ষা করতে ব্যবহার করা যেতে পারে। এই লেখা হিসাবে, আমি কোনও পর্যালোচনা করি নি, তাই আমি তাদের অ্যাপ্লিকেশনগুলি আর প্রকাশ করব না। আপনার পছন্দসই সার্চ ইঞ্জিনের সাহায্যে এগুলি তুলনামূলকভাবে সহজেই পাওয়া যাবে।

এই দুর্বলতা কীভাবে হ্রাস করা যায়?

অ-দুর্বল সংস্করণে আপগ্রেড করুন এবং দুর্বল ডেটা পুনরায় সেট করুন বা সুরক্ষিত করুন। হার্টবেলড সাইটে উল্লিখিত হিসাবে , উপযুক্ত প্রতিক্রিয়া পদক্ষেপগুলি ব্যাপকভাবে:

1. প্যাচ দুর্বল সিস্টেমগুলি।
2. নতুন ব্যক্তিগত কী পুনরায় তৈরি করুন ne
3. আপনার সিএতে নতুন সিএসআর জমা দিন।
4. নতুন স্বাক্ষরিত শংসাপত্র প্রাপ্ত এবং ইনস্টল করুন।
5. অবৈধ সেশন কী এবং কুকিজ
6. পাসওয়ার্ড এবং ভাগ করা গোপনীয়তা পুনরায় সেট করুন
7. পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।

আরও বিশদ বিশ্লেষণ এবং উত্তরের জন্য দেখুন একটি ওয়েবসাইট অপারেটর হৃদয়যুক্ত ওপেনএসএসএল শোষণ সম্পর্কে কী করা উচিত? সুরক্ষা স্ট্যাক এক্সচেঞ্জ এ।

আমার কী বা অন্যান্য ব্যক্তিগত ডেটা আপোষ করা হয়েছে তা নিয়ে কি আমাকে উদ্বিগ্ন হওয়া উচিত? আমার অন্যান্য কোন পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন হওয়া উচিত?

একেবারে। সিস্টেম অ্যাডমিনিস্ট্রেটররা ধরে নিতে হবে যে তাদের সার্ভারগুলি যা দুর্বল ওপেনএসএসএল সংস্করণগুলি ব্যবহার করেছে তা সত্যই আপস করে এবং তদনুসারে প্রতিক্রিয়া জানায়।

দুর্বলতা প্রকাশের অল্পক্ষণের পরে, ক্লাউডফেয়ার একটি চ্যালেঞ্জের প্রস্তাব দিয়েছিল যে কোনও সার্ভারের ব্যক্তিগত কী বাস্তবায়নে পুনরুদ্ধার করা যেতে পারে কিনা তা দেখার জন্য। চ্যালেঞ্জটি স্বাধীনভাবে ফেডর ইন্ডুতিনি এবং ইলকা মাতিলা জিতেছিলেন। দেখুন হার্টব্লিড চ্যালেঞ্জ ।

আমি আরও তথ্য কোথায় পেতে পারি?

লিঙ্ক ডাম্প, আরও বিশদ অনুসন্ধানের জন্য:

• ওপেনএসএসএল এসইসিএডিভি 2014047
• জন্য CVE-2014-0160
• হার্টব্লিড
• উবুন্টু ঘোষণা
• RHEL ঘোষণা
• অফিসিয়াল ওপেনএসএসএল ঘোষণা

হৃদয়গ্রাহী প্রকাশের টাইমলাইনে প্রকাশের ইভেন্টগুলির পরিবর্তে একটি বিস্তারিত সময়রেখা পাওয়া যাবে : কে কখন এবং কখন জানত ।

আপনি যদি প্রোগ্রামার হন এবং ওপেনএসএসএলের msg_cbকলব্যাকের মাধ্যমে হার্টবেলড আক্রমণ সনাক্ত করার মতো বিভিন্ন প্রোগ্রামিংয়ের কৌশলগুলিতে আগ্রহী হন , তবে ওপেনএসএসএল এর সুরক্ষা উপদেষ্টা 2014047 দেখুন ।

এক্সকেসিডি দ্বারা বাগের একটি সহজ ব্যাখ্যা:

উবুন্টু 12.04, 12.10 এবং 13.10

উবুন্টু ইউএসএন -2165-1 জারি করেছে , যা আপডেট প্যাকেজগুলি এখন সংরক্ষণাগারগুলিতে উপলব্ধ। ফিক্সটি ধরতে নিম্নলিখিত দুটি কমান্ড চালান।

sudo apt-get update
sudo apt-get upgrade

উবুন্টু 14.04

এই উদ্দেশ্যে আমি সেট করা একটি পিপিএতে আমি নতুন রিলিজ (০.০.১ জি) সমন্বিত একটি ডেবিয়ান প্যাকেজ আপলোড করেছি। এই তিনটি কমান্ড আপনার সিস্টেমে আমার পিপিএ যুক্ত করবে, উপলব্ধ প্যাকেজগুলির তালিকা আপডেট করবে এবং সবকিছু আপগ্রেড করবে:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

_{দ্রষ্টব্য: পিপিএ উবুন্টু 12.04 এবং 13.10 এর জন্যও প্যাকেজ সরবরাহ করে, আপনি যদি সংরক্ষণাগারগুলিতে কেবল প্যাচযুক্ত সংস্করণ ব্যবহার না করে নতুন সংস্করণ (1.0.1g) চালানো পছন্দ করেন।}

উবুন্টু 10.04

এটি একটি এলটিএস সংস্করণ, সার্ভার সংস্করণটি এখনও সমর্থিত এবং সুরক্ষা আপডেটগুলি গ্রহণ করে। তবে হৃদয়গ্রাহী দুর্বলতা উবুন্টু 10.04 এর একটি স্ট্যান্ডার্ড ইনস্টলেশনের ওপেনএসএল প্যাকেজকে প্রভাবিত করে না, কারণ সংস্করণটি 1.0.1 এর নীচে।

ডেস্কটপ সংস্করণটি জীবনের শেষ প্রান্তে পৌঁছেছে এবং আপগ্রেড / পুনরায় ইনস্টল করা দরকার।

উবুন্টু 13.04 এবং অন্যান্য পুরানো সংস্করণ

উবুন্টু 13.04 এর একটি খুব ছোট সমর্থন চক্র ছিল যা আপনি আশা করতে পারেন না। এটি ইতিমধ্যে জীবনের শেষ পর্যায়ে পৌঁছেছে এবং সুরক্ষা আপডেটগুলি আর পায় না। এটি দীর্ঘ আপগ্রেড করা উচিত ছিল। এখনও যদি কেউ এটি ব্যবহার করে থাকে তবে দয়া করে এখনই আপগ্রেড করুন, হয় স্ক্র্যাচ থেকে শুরু করুন বা এটি সহজ পদ্ধতি অনুসরণ করে 13.10 এ অ-ধ্বংসাত্মক করে উন্নীত করা যেতে পারে: http://www.tecmint.com / আপগ্রেড-বুন্টু 13-04-raring-ringtail -to-ubuntu-13-10-saucy-salamander / আপগ্রেড করার পরে সিস্টেমটি 13.10 থেকে হৃদয়যুক্ত প্যাচটি গ্রহণ করবে।

অন্যান্য সমস্ত পুরানো উবুন্টু সংস্করণের জন্য এর অর্থ মূলত একটি নতুন ইনস্টল করা প্রয়োজন।

প্যাচ প্রয়োগ করা হয়েছিল তা যাচাই করুন

মূলত, চালান openssl version -aএবং এটি নির্ধারণ করুন যে বিল্ডের তারিখটি এপ্রিল 7, 2014 বা তার পরের, তবে এখানে আরও দেখুন ।

রিবুট

ওপেনএসএসএল-এর উপর নির্ভর করে সমস্ত পরিষেবা পুনরায় চালু হয়েছে তা নিশ্চিত করার সর্বোত্তম উপায় হ'ল পুনরায় বুট করা ।

রেডহ্যাট 6.5 এবং সেন্টোজ 6.5

এগুলি দুর্বল। রেডহ্যাট এর ইরটাম আরএইচএসএ-২০১৪-০3766 বলছে এখানে প্যাচযুক্ত লাইব্রেরি রয়েছে এবং ক্ষতিগ্রস্থ যে কোনও ব্যক্তিকে প্রাথমিক পর্যায়ে আপগ্রেড করতে হবে।

লেখার সময়, সেন্টোসের এখনও একটি নির্দিষ্ট সংস্করণ ছিল না, তবে করণবীর সিং-এর সেন্টোস-ঘোষণায় পোস্ট করা হয়েছে যে তারা ওপেনসেলের একটি আপডেট সংস্করণ তৈরি করেছে ( openssl-1.0.1e-16.el6_5.4.0.1, শেষ চারটি সংখ্যাটি গুরুত্বপূর্ণ যা নোট করুন) যেটি শোষণমূলক টিএলএস রয়েছে কমান্ড অক্ষম করা হয়েছে, এবং এটি নিরাপদে প্রয়োগ করা যেতে পারে কারণ শেষ পর্যন্ত এটি প্রকাশিত হওয়ার পরে এটি কোনও নির্দিষ্ট সংস্করণে ওভাররাইট করা হবে।

অস্থায়ীভাবে সংশোধিত সংস্করণটি এখনও সমস্ত আয়নাতে পরিণত করেছে বলে মনে হয় না তবে এটি http://mirror.centos.org/centos/6/updates/x86_64/Packages/ এ মূল সংগ্রহস্থলে রয়েছে (এবং একইভাবে এর জন্য i686)।

সম্পাদনা : আইয়েন যেমন বলেছে, সেখানে এখন সি 6.5 এর পুরোপুরি সংস্করণ বলে মনে হচ্ছে এবং তাড়াহুড়ো করে মনে হচ্ছে এটি আয়নাগুলির চারপাশে ঠেলে দেওয়া হয়েছে। yum updateআমার সার্ভারগুলির জন্য সরাসরি এটি পেয়েছিল; এটা openssl-1.0.1e-16.el6_5.7।

6.5 এর আগে আরএইচ 6 এবং সি 6 এর সংস্করণ

এগুলি দুর্বল নয়। রেড হ্যাট থেকে প্রাপ্ত এই পরামর্শ অনুসারে ,

এই সমস্যাটি ওপেনসেলের সংস্করণগুলিকে রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 5 এবং রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 6.4 এবং তার আগের সংস্করণগুলিতে প্রভাব ফেলেনি।

করণবীর সিংয়ের সেন্টোস-ঘোষণায় পোস্ট করা সংস্করণ সম্পর্কে সমানভাবে স্পষ্ট:

আজকের আগের দিন, সেন্টোস-6.৫-এ প্রেরণে ওপেনসেল-এর একটি গুরুতর সমস্যা সম্পর্কে আমাদের সচেতন করা হয়েছিল

দেবিয়ান হুইজি

ডেবিয়ান issed করেছে জেলাকে-2896-1 এবং patched লাইব্রেরি হয় এখানে পাওয়া যায় । একটি শেল স্ক্রিপ্ট এখানে উপলব্ধ ।

1. প্যাচ

অ্যাপেট-গেট সংগ্রহস্থল আপডেট করা হয়েছিল তাই এখন প্যাচযুক্ত লাইব্রেরিগুলি এর মাধ্যমে পাওয়া যায় apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

বিকল্পভাবে (প্রস্তাবিত নয়) প্যাকেজগুলি ম্যানুয়ালি আপগ্রেড করা যেতে পারে:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

২. সার্ভার / পরিষেবাদি পুনরায় চালু করুন

সর্বোত্তম সুরক্ষার জন্য পুরো সার্ভারটি পুনরায় চালু করুন বা সার্ভার অফলাইনে না থাকলে প্রয়োজনীয় পরিষেবাগুলি পুনরায় আরম্ভ করুন।

৩. ওপেনএসএসএল সংস্করণ পরীক্ষা করুন

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

আমি উল্লেখ করতে চাই যে ব্যক্তিগত কীগুলি কেবলমাত্র সম্পদ নয় যেগুলি আপোস হিসাবে বিবেচনা করা উচিত। বাগের ওপেনএসএসএল হিসাবে একই ঠিকানা স্পেসে (যেমন, একই প্রক্রিয়া) চলমান যে কোনও মেমরি ফাঁস হওয়ার সম্ভাবনা রয়েছে । অতএব, আপনি যদি এমন কোনও সার্ভার প্রক্রিয়া চালিয়ে যাচ্ছেন যেখানে ওপেনএসএসএলটির একটি দুর্বল সংস্করণটি স্থিতিশীল বা গতিশীলভাবে সংযুক্ত রয়েছে, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর এবং অন্যান্য ব্যক্তিগত ডেটা সহ যে প্রক্রিয়াটি কখনও পরিচালিত হয়েছে এমন কোনও তথ্যের অংশটিকে সম্ভাব্য আপোস হিসাবে বিবেচনা করা উচিত।

FreeBSD 'র 10.0 বা OpenSSL পোর্ট থেকে

FreeBSD 'র নিরাপত্তা দল : জন্য CVE-2014-0160 (ওরফে "হার্টব্লিড") এবং সংক্রান্ত একটি উপদেষ্টা জারি করেছে FreeBSD' র-এসএ-14: 06.openssl

1. ফ্রিবিএসডি আপডেট করা হচ্ছে

   • বাইনারি প্যাচের মাধ্যমে ফ্রিবিএসডি আপডেট করা হচ্ছে

     আইবি 386 বা এমডি 64 প্ল্যাটফর্মে ফ্রিবিএসডি-র একটি রিলিজ সংস্করণ চলছে এমন সিস্টেমগুলি ফ্রিবিএসডি -আপডেট (8) ইউটিলিটির মাধ্যমে আপডেট করা যেতে পারে:

     # freebsd-update fetch
     # freebsd-update install
     

   • উত্স থেকে ফ্রিবিএসডি আপডেট করা হচ্ছে

     1. নীচের অবস্থান থেকে প্রাসঙ্গিক প্যাচটি ডাউনলোড করুন এবং আপনার পিজিপি ইউটিলিটি ব্যবহার করে বিচ্ছিন্ন পিজিপি স্বাক্ষরটি যাচাই করুন।

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        

     2. নিম্নলিখিত কমান্ডগুলি রুট হিসাবে প্রয়োগ করুন:

        # cd /usr/src
        # patch < /path/to/patch
        

     3. অপারেটিং সিস্টেমটি পুনরায় কম্পাইল করুন

        ফ্রিবিএসডি হ্যান্ডবুকে বর্ণিত বিল্ডওয়ার্ড এবং ইনস্টলওয়ার্ল্ড ব্যবহার করা ।

2. আপডেট করুন OpenSSL ন্যূনতম সংস্করণের সাথে বন্দর 1.0.1_10

3. লাইব্রেরী ব্যবহার করে সমস্ত ডিমন পুনরায় চালু করুন বা সিস্টেমটি পুনরায় বুট করুন

4. আপনার সিস্টেমের সাথে আপোস করা হয়েছে এমন আচরণ করুন, আপনার সমস্ত এসএসএল কী এবং / অথবা শংসাপত্র এবং সম্ভাব্যভাবে ফাঁস হওয়া তথ্য পুনরায় ইস্যু করুন ( EEAA আরও সাধারণ উত্তর দেখুন)।

ফ্রিবিএসডি 9.x এবং ফ্রিবিএসডি 8.x

এই সিস্টেম দ্বারা প্রবন না করতে হার্টব্লিড পুরোনো 0.9.x সংস্করণ উপর নির্ভর করে, ডিফল্টরূপে ইস্যু OpenSSL , পাঠাগার , যদি না আপনি ইনস্টল OpenSSL পোর্ট থেকে (উপরে দেখুন)।

যদি এই সিস্টেমগুলি হার্টবেল্ড ইস্যুতে ঝুঁকিপূর্ণ না হয় তবে অন্য স্থানীয় দুর্বলতার কারণে আপনার সিস্টেমটি আপাতত উন্নত করা বুদ্ধিমানের কাজ হতে পারে ( ফ্রিবিএসডি-এসএ-১৪: 06.পেনসেল এবং "ফ্রিবিএসডি 10.0" বিভাগটি উপরের দিকে দেখুন):

স্থানীয় আক্রমণকারী একটি স্বাক্ষরকরণ প্রক্রিয়া স্নুপ করতে সক্ষম হতে পারে এবং এটি থেকে স্বাক্ষর কীটি পুনরুদ্ধার করতে পারে। [জন্য CVE-2014-0076]

দ্রষ্টব্য :

আসল হার্টবেল্ড অ্যাডভাইজরিটি ফ্রিবিএসডি 8.4 এবং 9.1 কে সম্ভাব্য দুর্বল হিসাবে তালিকাবদ্ধ করে। হার্টবিট এক্সটেনশনের অভাবের কারণে এটি সত্য নয় (ডিফল্ট ফ্রিবিএসডি ওপেনসেল লাইব্রেরি সংস্করণ ০.৯.এক্স)।

আমি কাজ করি এমন বেশ কয়েকটি অ্যাপ্লিকেশনগুলিতে SSL এর সংস্করণগুলি নির্ধারণ করা অসম্ভবের পাশে পেয়েছি। যদিও এটি প্রযুক্তিগতভাবে নয় তবে বর্তমানে দুর্বল হোস্টগুলিকে আইডি করতে সক্ষম হওয়া আমার তালিকার শীর্ষে ছিল।

আমি একটি ছোট ভিএম একসাথে রেখেছি যা ফিলোসটাইল পরীক্ষার মডিউলটি ব্যবহার করে স্বেচ্ছাসেবক হোস্ট এবং বন্দরগুলির বিরুদ্ধে চেক সম্পাদন করবে । প্রাথমিক নজরে কোডটি দুর্দান্ত দেখায়।

সম্পন্ন ভিএম-এর মুক্তি এখানে । এটি ভিএমএক্স ফর্ম্যাটে।

সতর্কতা শব্দ

এই স্ক্রিপ্ট এবং ভিএম কেবলমাত্র আপনার সিস্টেমের বর্তমান অবস্থা প্রদর্শন করবে । এটি সম্পূর্ণরূপে সম্ভব যে অতীতের কোনও এক সময় আপনার সিস্টেমগুলি দুর্বল অবস্থায় ছিল এবং অপব্যবহার করা যেতে পারে।

এখানে কিছু প্রদর্শিত হচ্ছে তা সংশোধন করার পক্ষে অবশ্যই একটি উচ্চ অগ্রাধিকার তবে এটি আপডেট প্রয়োগ এবং আপনার সমস্ত কীগুলি পরিবর্তনের জন্য আপনাকে হুক থেকে সরিয়ে দেয় না ।

আমাজন লিনাক্স (অ্যামাজন ইসি 2 তে লিনাক্স ডিস্ট্রো ব্যবহৃত হয়)

https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

ইস্যুর ওভারভিউ: ওপেনএসএসএল টিএলএস হার্টবিট এক্সটেনশন প্যাকেটগুলি যেভাবে পরিচালনা করেছে তা খুঁজে পাওয়া যায় নি। এই ত্রুটিটি কোনও সংযুক্ত ক্লায়েন্ট বা সার্ভার থেকে 64k মেমরি পর্যন্ত প্রকাশ করতে ব্যবহৃত হতে পারে।

প্রভাবিত সংস্করণ: যে কোনও অ্যামাজন লিনাক্স এএমআই যার উপর ওপেনসেল ১.০.১ ইনস্টল করা আছে, এটি যে কোনও অ্যামাজন লিনাক্স এএমআই 2013.03 বা তার পরে এবং যে কোনও অ্যামাজন লিনাক্স এএমআই 2013-03 বা তার পরে উন্নীত হয়েছে। ওপেনএসএসএলটি অ্যামাজন লিনাক্স এএমআই-তে ডিফল্টরূপে ইনস্টল করা হয়।

আক্রান্ত প্যাকেজগুলি: ওপেনসেল

সমস্যা সংশোধন: আপনার সিস্টেম আপডেট করতে yum আপডেট ওপেনসেল চালান। নতুন প্যাকেজটি ইনস্টল হয়ে গেলে, আপনার প্রয়োজন হয় ওপেনএসএল ব্যবহার করা সমস্ত পরিষেবা ম্যানুয়ালি পুনরায় চালু করতে হবে, বা আপনার ইনস্টলটি পুনরায় বুট করতে হবে। নতুন প্যাকেজটির এখনও ওপেনসেল -১.০.১ এর নামকরণ করা হয়েছে, এতে সিভিই -২০১ .-১০60০ এর ফিক্স রয়েছে।

নতুন প্যাকেজগুলি: i686:

openssl-1.0.1e-37.66.amzn1.i686

openssl-static-1.0.1e-37.66.amzn1.i686

openssl-perl-1.0.1e-37.66.amzn1.i686

openssl-devel-1.0.1e-37.66.amzn1.i686

openssl-debuginfo-1.0.1e-37.66.amzn1.i686

, x86_64:

openssl-devel-1.0.1e-37.66.amzn1.x86_64

openssl-1.0.1e-37.66.amzn1.x86_64

openssl-debuginfo-1.0.1e-37.66.amzn1.x86_64

openssl-perl-1.0.1e-37.66.amzn1.x86_64

openssl-static-1.0.1e-37.66.amzn1.x86_64