হৃদয়গ্রাহী: এইচটিটিপিএস ব্যতীত অন্যান্য পরিষেবাগুলি কি প্রভাবিত হচ্ছে?


65

ওপেনএসএসএল 'হার্টবেল্ড' দুর্বলতা ( সিভিই -2014-0160 ) এইচটিটিপিএস পরিবেশনকারী ওয়েব -সার্ভারকে প্রভাবিত করে। অন্যান্য পরিষেবাদি ওপেনএসএসএল ব্যবহার করে। এই পরিষেবাগুলি কি হৃদয়গ্রাহী-জাতীয় ডেটা ফাঁসের পক্ষেও ঝুঁকিপূর্ণ?

আমি বিশেষভাবে চিন্তা করছি

  • sshd কমান্ড
  • সুরক্ষিত এসএমটিপি, আইএমএপ ইত্যাদি - ডোভকোট, এক্সিম এবং পোস্টফিক্স
  • ভিপিএন সার্ভারগুলি - ওপেনভিপিএন এবং বন্ধুরা

আমার সমস্ত সিস্টেমে কমপক্ষে সমস্তগুলি ওপেনএসএসএল লাইব্রেরির সাথে যুক্ত রয়েছে।


উবুন্টুর জন্য স্থির করুন: অ্যাপেট-গেট আপডেট && অ্যাপ্লিকেশন-ওপেনসেল ইনস্টল করুন libssl1.0.0 && পরিষেবা এনজিনেক্স পুনরায় চালু করুন; তারপরে, আপনার ব্যক্তিগত কীগুলি পুনরায়
বিতরণ করুন

দুর্বল হোস্টগুলি সনাক্ত করতে এই সরঞ্জামটি ব্যবহার করুন: github.com/titanous/heartbleeder
হোমার

1
apt-get updateডাউনগ্রেড না করে এখন উবুন্টুর পক্ষে যথেষ্ট হওয়া উচিত, প্যাচটি গত রাতে মূল ভান্ডারে হাজির।
জেসন সি

10
apt-get আপডেট যথেষ্ট নয়। আপডেটটি কেবল সর্বশেষ পরিবর্তনগুলি দেখায়, আপডেটের পরে আপগ্রেড UPGRADE প্রযোজ্য হবে।
sjakubowski

1
আমি নিশ্চিত যে @ জেসনসি এর অর্থ কী, তবে এটি পরিষ্কার করে দেওয়ার জন্য +1।
ক্রেগ 21

উত্তর:


40

ওপেনএসএসএল এর টিএলএস বাস্তবায়নের জন্য যে কোনও পরিষেবা সম্ভাব্য দুর্বল; এটি ওয়েব সার্ভার বা ইমেল সার্ভার প্যাকেজটির মাধ্যমে কীভাবে উপস্থাপন করা হচ্ছে তা নয়, অন্তর্নিহিত সাইরপ্টোগ্রাফি লাইব্রেরিতে এটি একটি দুর্বলতা। আপনার অন্তত ডেটা ফাঁসের জন্য সমস্ত লিঙ্কযুক্ত পরিষেবা বিবেচনা করা উচিত ।

আমি নিশ্চিত যে আপনি সচেতন, একসাথে আক্রমণ শৃঙ্খলা করা বেশ সম্ভব। এমনকি সহজতম আক্রমণগুলিতে এটি সম্পূর্ণরূপে সম্ভব, উদাহরণস্বরূপ, এসএসএলকে আপস করার জন্য হার্টলেড ব্যবহার করা, ওয়েবমেল শংসাপত্রগুলি পড়তে, দ্রুত "প্রিয় হেল্পডেস্ক" এর সাহায্যে অন্য সিস্টেমে অ্যাক্সেস পেতে ওয়েবমেল শংসাপত্রগুলি ব্যবহার করতে পারেন, আপনি কি আমাকে password foo এর জন্য একটি নতুন পাসওয়ার্ড দিতে পারেন? সিইও প্রেম "

হার্টবেলড বাগে আরও তথ্য এবং লিঙ্ক রয়েছে এবং একটি সার্ভার ফল্ট নিয়মিত, হার্টবেল্ড দ্বারা পরিচালিত অন্য প্রশ্নের মধ্যে রয়েছে : এটি কী এবং এটি প্রশমিত করার বিকল্পগুলি কী কী?


3
"এটি অন্তর্নিহিত সিস্টেমের একটি দুর্বলতা, এটি কীভাবে এটি এসএসএল / টিএলএসের মতো উচ্চ স্তরের সিস্টেমের মাধ্যমে উপস্থাপন করা হয় না" - না, এটি ভুল। এটি টিএলএস হার্টবিট এক্সটেনশন বাস্তবায়নে একটি দুর্বলতা। আপনি যদি কখনও টিএলএস ব্যবহার না করেন তবে আপনি নিরাপদ। আমি আপনার উপসংহারের সাথে একমত, যদিও, শৃঙ্খলাবদ্ধ হামলার কারণে কী ক্ষতিগ্রস্থ হতে পারে সে সম্পর্কে আপনার বিশ্লেষণে আপনাকে খুব সতর্ক থাকতে হবে।
পার্সিডস

6
@ পার্সিডস আপনি অবশ্যই বলছেন, আমি সহজেই বোঝার সহজ উপায়টি খুঁজতে চেষ্টা করছিলাম যে লোকেরা সুরক্ষিত নয় কারণ তারা ওয়েবসারভার এক্স এর এই সংস্করণ বা এসএমটিপি সার্ভার ওয়াইয়ের সেই সংস্করণটি চালাচ্ছে I'm আমি একটি সম্পাদনা করছি এটি আশাবাদী জিনিসগুলির উন্নতি করবে, সুতরাং এটি উল্লেখ করার জন্য ধন্যবাদ।
রব মোয়ার

35

দেখে মনে হচ্ছে আপনার এসএস-কিগুলি নিরাপদ:

এটি উল্লেখ করার মতো যে ওপেনএসএসএইচ ওপেনএসএসএল বাগ দ্বারা প্রভাবিত হয় না। ওপেনএসএসএইচ কিছু কী-প্রজন্মের ফাংশনগুলির জন্য ওপেনসেল ব্যবহার করে, এটি টিএলএস প্রোটোকল ব্যবহার করে না (এবং বিশেষত টিএলএস হার্টবিট এক্সটেনশন যা হৃদয়যুক্ত আক্রমণগুলি)। সুতরাং এসএসএইচকে আপস করা নিয়ে চিন্তার কোনও দরকার নেই, যদিও ওপেনসেলটি 1.0.1g বা 1.0.2-বিটা 2 তে আপডেট করা ভাল ধারণা (তবে আপনাকে এসএসএইচ কীপেইসগুলি প্রতিস্থাপনের বিষয়ে চিন্তা করতে হবে না)। - ডাঃ জিম্বব 6 ঘন্টা আগে

দেখুন: https://security.stackexchange.com/questions/55076/ what-should-one-do-about-the-heartbleed-openssl-exploit


এটি @ রোবমের বিবৃতি অনুসারে অপ্রত্যক্ষভাবে প্রভাবিত হচ্ছে না? কেউ হৃদয়যুক্ত দুর্বলতা ব্যবহার করে মেমরি থেকে রুটের পাসওয়ার্ড পড়েন, সিস্টেমে নন-এসএসএইচ অ্যাক্সেসটি পাবেন এবং তারপরে এসএসএইচ স্টাফ চুরি করে।
টমাস ওয়েলার

1
আপনি এই বাগ সহ যে কোনও 64k মেমরি পড়তে পারবেন না, কেবল আগত প্যাকেটটি যেখানে সজ্জিত আছে তার কাছে কেবল 64k memory দুর্ভাগ্যক্রমে প্রচুর গুডিস সেখানে সঞ্চিত থাকে যেমন প্লেটেক্সট পাসওয়ার্ড, প্রাইভেট কী এবং বিড়ালের বিড়ালের ছবি সহ ডিক্রিপ্ট করা এইচটিটিপি অনুরোধ।
লার্স

4

@ রওবএম এর উত্তর ছাড়াও, এবং যেহেতু আপনি বিশেষত এসএমটিপি সম্পর্কে জিজ্ঞাসা করেছেন: এসএমটিপিতে বাগটি শোষণের জন্য ইতিমধ্যে একটি পিসি রয়েছে: https://gist.github.com/tkeshixx/10107280


4
বিশেষত এটি টিএলএস সংযোগটি ব্যবহার করে যা "স্টার্টলস" কমান্ডের পরে প্রতিষ্ঠিত হয়, যদি আমি কোডটি সঠিকভাবে পড়ি।
পার্সিডস

3

হ্যাঁ এই পরিষেবাগুলি ওপেনএসএসএলে নির্ভর করা থাকলে আপস করা যেতে পারে

ওপেনএসএসএল উদাহরণস্বরূপ ইমেল সার্ভারগুলি (এসএমটিপি, পিওপি এবং আইএমএপি প্রোটোকল), চ্যাট সার্ভারগুলি (এক্সএমপিপি প্রোটোকল), ভার্চুয়াল প্রাইভেট নেটওয়ার্কগুলি (এসএসএল ভিপিএন), নেটওয়ার্ক অ্যাপ্লায়েন্স এবং ক্লায়েন্ট সাইড সফ্টওয়্যারের বিভিন্ন ধরণের সুরক্ষার জন্য ব্যবহৃত হয়।

দুর্বলতা, প্রভাবিত অপারেটিং সিস্টেম ইত্যাদি সম্পর্কে আরও বিস্তারিত লেখার জন্য আপনি http://heartbleed.com/ চেকআউট করতে পারেন


3

এর সাথে লিঙ্কযুক্ত যে কোনও কিছুই libssl.soপ্রভাবিত হতে পারে। আপগ্রেড করার পরে আপনার যে কোনও পরিষেবা ওপেনএসএসএল এর সাথে লিঙ্ক করা পুনরায় চালু করা উচিত।

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

আর্চ লিনাক্স মেলিং তালিকা থেকে আনাতল পমোজভের সৌজন্যে ।


2
যে কোনও কিছু libssl এর সাথে লিঙ্ক করে এবং টিএলএস ব্যবহার করে। ওপেনশ ওপেনসেল ব্যবহার করে তবে টিএলএস ব্যবহার করে না, সুতরাং এটি প্রভাবিত হয় না।
স্ট্যাসএম

2
@StasM এটা কেন আমি লিখেছে প্রভাবিত হতে পারে , না প্রভাবিত হয় । এছাড়াও, ওপেনএসএইচ সার্ভার ওপেনএসএসএল এর সাথে মোটেই লিঙ্ক করে না। Ssh-keygen এর মতো ইউটিলিটিগুলি কিন্তু সেগুলি ওপেনএসএসএইচ সার্ভার দ্বারা ব্যবহৃত হয় না । যা আমি সরবরাহ করেছি lsof আউটপুটে পরিষ্কারভাবে দৃশ্যমান - ওপেনএসএসএইচ তালিকাভুক্ত করা হয় নি, যদিও এটি সার্ভারে চলছে।
এখনকার

1

অন্যান্য পরিষেবা এটি দ্বারা প্রভাবিত হয়।

HMailServer যে কেউ ব্যবহার করেন, তার জন্য এখানে পড়া শুরু করুন - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

আপডেটগুলি প্রয়োজন কিনা তা জানতে যে কোনও এবং প্রত্যেককে সমস্ত সফ্টওয়্যার প্যাকেজগুলির বিকাশকারীদের সাথে চেক করা প্রয়োজন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.