হৃদয়যুক্তদের প্রতিক্রিয়াতে আমার কি ওপেনএসএসএইচের কীগুলি প্রতিস্থাপন করতে হবে?

9

আমি ইতিমধ্যে প্যাচগুলি দিয়ে আমার সার্ভারগুলি আপডেট করেছি।

আমার কি ওপেনএসএসএইচ সম্পর্কিত কোনও প্রাইভেট কী পুনরূদ্ধার করতে হবে? আমি জানি যে আমাকে যে কোনও এসএসএল শংসাপত্র পুনরায় তৈরি করতে হবে।

সম্পাদনা: আমি এটিকে যথাযথভাবে বলতে পারি নি। আমি জানি দুর্বলতা ওপেনএসএলে রয়েছে তবে আমি জিজ্ঞাসা করছিলাম যে এটি ওপেনশায় কীভাবে প্রভাব ফেলে এবং আমাকে ওপেনশ্যাস্ট হোস্ট কীগুলি পুনরায় উত্পন্ন করার দরকার আছে কিনা।

ssh heartbleed

— Olly
সূত্র

1

আসলে এটি সম্ভবত অনুরূপ serverfault.com/questions/587329/...

— জুয়াচোর

আপনার প্রথম এবং তৃতীয় অনুচ্ছেদগুলি পরস্পরবিরোধী বলে মনে হচ্ছে।

— একটি সিএনএন

@ ফেকার আসলেই নয় - এই প্রশ্নটি এসএসএইচ সম্পর্কে

— কোনওভাবেই সম্বোধন

সম্পর্কিত প্রশ্ন: সার্ভারফল্ট.কোশনস

— ভোরেতাক Ap

5

দুর্বলতা opensshএটি প্রভাবিত করে না openssl।
কোনটি গ্রন্থাগার অনেক পরিষেবা ব্যবহার করে তা হল - সহ openssh।

এই মুহুর্তে এটি পরিষ্কার হয়ে গেছে যা opensshএই দুর্বলতার দ্বারা প্রভাবিত নয়, কারণ ওপেনএসএইচ এসএসএইচ প্রোটোকল ব্যবহার করে, দুর্বল টিএলএস প্রোটোকলটি নয়। আপনার ssh প্রাইভেট কীটি স্মরণে থাকা এবং এমন প্রক্রিয়া দ্বারা পঠনযোগ্য যা সম্ভবত দুর্বল - অসম্ভব নয় তবে অসম্ভব।

অবশ্যই আপনাকে অবশ্যই আপনার opensslসংস্করণটি আপডেট করতে হবে ।
মনে রাখবেন যে আপনি আপডেট হলে আপনার opensslএটি ব্যবহার করা সমস্ত পরিষেবা পুনরায় চালু করতে হবে।
এর মধ্যে ভিপিএন সার্ভার, ওয়েব সার্ভার, মেল সার্ভার, লোড ব্যালেন্সার, ...

— জুয়াচোর
সূত্র

1

কিছু মনে রাখবেন: এসএসএইচ প্রাইভেট কী এবং এসএসএল শংসাপত্রের জন্য একই বেসরকারী কী অংশটি ব্যবহার করা সম্ভব । এই ক্ষেত্রে যদি এসএসএল শংসাপত্র কীটি কোনও দুর্বল ওয়েব সার্ভারে ব্যবহার করা হয় তবে আপনাকে আক্রান্ত এসএসএইচ প্রাইভেট কীটিও প্রতিস্থাপন করতে হবে। ( এটির শোষণের জন্য কারও জানা দরকার যে আপনি এটি করছেন, বা এটি চেষ্টা করার চেষ্টা করুন - এটি আমার অভিজ্ঞতার একটি অত্যন্ত অস্বাভাবিক কনফিগারেশন, তাই আমি সন্দেহ করি যে কেউ এটি সম্পর্কে ভাবেন)। আপনি যা চাইলে আপনার এসএসএইচ প্রাইভেট কী (গুলি) পুনরায়

— জেনারেট করার কোনও

2

সুতরাং দেখে মনে হচ্ছে এসএসএইচ প্রভাবিত নয়:

সাধারণত, আপনি যদি এমন কোনও সার্ভার চালান যেখানে আপনি কোনও সময়ে কোনও এসএসএল কী তৈরি করেছেন তবে আপনি প্রভাবিত হন। সাধারণত শেষ ব্যবহারকারীরা (সরাসরি) প্রভাবিত হয় না। এসএসএইচ প্রভাবিত হয় না। উবুন্টু প্যাকেজগুলির বিতরণ প্রভাবিত হয় না (এটি জিপিজি স্বাক্ষরগুলির উপর নির্ভর করে)।

উত্স: উবুন্টুকে জিজ্ঞাসা করুন: ওপেনএসএসএলে সিভিই -2014-0160 কীভাবে প্যাচ করবেন?

— Olly
সূত্র

1

অন্যরা এখানে যা বলেছে তার থেকে পৃথকীকরণে শ্নিয়ার হ্যাঁ বলেছে।

মূলত, কোনও আক্রমণকারী কোনও সার্ভার থেকে K৪ কে মেমরি গ্রহন করতে পারে। আক্রমণটি কোনও চিহ্ন খুঁজে পায় না এবং বিভিন্ন এলোমেলো K৪ কে মেমরি ধরে ফেলতে একাধিকবার করা যায় done এর অর্থ মেমরির যে কোনও কিছুই - এসএসএল ব্যক্তিগত কী, ব্যবহারকারী কী, যে কোনও কিছুই - দুর্বল। এবং আপনাকে ধরে নিতে হবে যে এটি সমস্ত আপোষযুক্ত। এটার সবগুলো.

এটি যে ssh (কোনও প্রকারের) সরাসরি প্রভাবিত হয়েছিল তা নয়, তবে সেই ssh কীগুলি মেমরিতে সংরক্ষণ করা যেতে পারে এবং মেমরিটি অ্যাক্সেস করা যেতে পারে। এটি গোপন হিসাবে বিবেচিত মেমরির মধ্যে সঞ্চিত অন্য যে কোনও কিছুর জন্য যায়।

— জেরেমি ফ্রেঞ্চ
সূত্র

তিনি এই বাক্যটি দিয়ে সমস্যার একটি খুব সাধারণ ধারণা দিয়েছেন বলে মনে হচ্ছে give এটা প্রথমবার আমি শুনেছি যে সব আপনার সব স্মৃতি উন্মুক্ত হয়েছে। এখনও অবধি আমার উপলব্ধি হ'ল কেবলমাত্র সেই স্মৃতিতে যা দুর্বল প্রক্রিয়াটি অ্যাক্সেস করে তা প্রকাশ করা হয়। আরও দেখুন: সিকিউরিটি.স্ট্যাকেক্সচেঞ্জ

— প্রশ্নগুলি

0

ওপেনএসএইচ হার্টবিট এক্সটেনশন ব্যবহার করে না, সুতরাং ওপেনএসএইচ প্রভাবিত হয় না। আপনার কীগুলি ততক্ষণ নিরাপদ থাকা উচিত যতক্ষণ না ওপেনএসএসএল প্রক্রিয়া যাতে হৃদস্পন্দন ব্যবহার করে তাদের স্মৃতিতে তা না থাকে তবে এটি সাধারণত খুব কমই থাকে।

সুতরাং আপনার যদি / কিছুটা ভৌত হওয়ার দরকার হয় তবে সেগুলি প্রতিস্থাপন করুন, না হলে আপনি তুলনামূলকভাবে ভাল ঘুমাতে পারবেন না।

— ডেনিস উইট
সূত্র

এসএসএইচ ওপেনএসএসএল ব্যবহার করে না। বড় পার্থক্য সেখানে।

— জ্যাকব 21

2

ওপেনএসএসএইচ ওপেনএসএসএল এর লাইবক্রিপ্টো অংশ ব্যবহার করে। এজন্য আপনাকে ওপেনএসএসএল আপডেট করার পরে এসএসএইচ পুনরায় চালু করতে হবে। এজন্য কিছু লোক জিজ্ঞাসা করছে যে তাদের এসএসএইচ-কীগুলি প্রতিস্থাপন করতে হবে কিনা। আমার উত্তর উপরে দেখুন ... তাই আপনার বক্তব্য ঠিক কি?

— ডেনিস উইট