আমি ওপেনএসএসএল আপডেট করার পরেও আমার সার্ভারটি এখনও হৃদরোগে ঝুঁকির মধ্যে রয়েছে

28

আমার একটি উবুন্টু 12.04 সার্ভার রয়েছে। আমি OpenSSLহৃদরোগযুক্ত দুর্বলতা ঠিক করতে প্যাকেজটি আপডেট করেছি । আমি ওয়েব সার্ভার এবং এমনকি পুরো সার্ভারটি পুনরায় চালু করেও আমি এখনও দুর্বল vulne

আমার দুর্বলতা যাচাই করতে আমি ব্যবহার করেছি:

dpkg দেয়:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

— user3301260
সূত্র

আউটপুট openssl version -a?

— নাথান সি

আমিও 12.04 সার্ভার চালাচ্ছি (এনগিনেক্স সহ)। সুরক্ষা আপডেটগুলি স্বয়ংক্রিয়ভাবে ইনস্টল করার জন্য খনি সেটআপ করা হয় এবং আমি অজগর স্ক্রিপ্টটি চালানোর সময় এটি দুর্বল নয় বলে জানায়। আপনি প্যাকেজ সংগ্রহস্থল থেকে বা ম্যানুয়ালি এনগিনেক্স ইনস্টল করেছেন?

— মাইকাজো

1

আপনি এই বন্দরে কি চলছে? যদি এটি একটি তৃতীয় পক্ষের অ্যাপ্লিকেশন, আপনার কাছে একটি স্থির গ্রন্থাগার থাকতে পারে

— নাথান সি

29

libssl1.0.0প্যাকেজটিও আপডেট হয়েছে কিনা তা নিশ্চিত করুন (সেই প্যাকেজে প্রকৃত গ্রন্থাগার opensslরয়েছে , প্যাকেজটিতে সরঞ্জামগুলি রয়েছে) এবং লাইব্রেরি ব্যবহার করে সমস্ত পরিষেবা আপগ্রেডের পরে পুনরায় চালু করা হয়েছে।

ওপেনএসএল (পরিষেবা অ্যাপাচি পুনঃসূচনা) ব্যবহার করে আপনাকে সমস্ত পরিষেবা পুনরায় চালু করতে হবে।

— হাকান লিন্ডকভিস্ট
সূত্র

4

— জেমেনকে

3

এটা সম্ভব যদি আপনি একটি মিথ্যা ইতিবাচক ক্ষেত্রে হয়, প্রতি প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী :

আমি মিথ্যা পজিটিভ পাচ্ছি (লাল)!

সাবধানতা অবলম্বন করুন, আপনি যদি বোতামটি হাতুড়ি দিয়ে সাইটটি গ্লিট করেন না, তবে আমি কোনও লালকে লাল ভাবতে পারি না এমন উপায় নেই।

মেমোরি ডাম্পটি পরীক্ষা করুন, যদি এটি সেখানে থাকে তবে সরঞ্জামটি কোথাও থেকে পেয়েছে।

ধরা যাক আমি 99% নিশ্চিত যে আপনি সঠিকভাবে আপডেট করার পরে সমস্ত প্রক্রিয়া পুনরায় শুরু করলে আপনার আরও ভাল দেখা উচিত।

আপডেট: তবুও, আমি অবিচ্ছিন্ন সংস্করণগুলি লাল হয়ে যাওয়ার ধারাবাহিকভাবে প্রতিবেদন পাচ্ছি। আপনি প্রভাবিত হলে দয়া করে ইস্যুতে মন্তব্য করুন । আমি 3 টি বিষয় খুঁজছি: মেমরি ডাম্প (তারা কোথা থেকে এসেছিল তা নির্ধারণ করার জন্য), টাইমস্ট্যাম্পগুলি (যথাসম্ভব যথাযথ, নেটওয়ার্ক ট্যাব দিয়ে চেষ্টা করুন), আপনি কী ক্লিক করেছেন এবং কী টাইপ করেছেন তার একটি সম্পূর্ণ বিবরণ।

আপনি এসএসএলল্যাবের মতো অন্য একটি সরঞ্জাম ব্যবহার করে আপনার সাইটটি পরীক্ষা করতে পারেন এবং দেখতে পান যে আপনি এখনও দুর্বল হিসাবে প্রতিবেদন করেছেন। উপরে বর্ণিত হিসাবে
আপনার সমস্যার সমাধানটি http://filippo.io/Heartbleed পরীক্ষক দিয়েও করা উচিত ।

— voretaq7
সূত্র

এসএসএল্যাবগুলি ব্যবহার করে হার্টলেডদের কাছে দুর্বল হয়ে পড়েছেন

— ম্যাট

@ ম্যাট আসলে আপনার তখন সমস্যা হতে পারে - মেমরি ডাম্পটি পরীক্ষা করুন (আপনি কি একটি পেয়ে যাচ্ছেন?) এবং ফিলিপো.ইও সরঞ্জামটির পিছনে সুন্দর লোকদের সাথে জড়িত থাকতে পারেন।

— voretaq7

2

আপনি যদি মোড_স্পডি চলমান হয়ে থাকেন তবে নিশ্চিত হয়ে নিন যে আপনি নিজের মোড_স্পডি ইনস্টল আপডেট করেছেন। বিস্তারিত জানতে https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU দেখুন । আপনাকে হয় মোড_স্পডি ডেবিগ আপগ্রেড করতে হবে বা পূর্ববর্তী সংস্করণটি পুরোপুরি সরিয়ে ফেলতে হবে।

— lewing
সূত্র

2

আপনার সম্ভবত সম্ভবত 443 এ শোনা একটি প্রোগ্রাম রয়েছে যা একটি স্ট্যাটিকালি লিঙ্কযুক্ত ওপেনসেল লাইব্রেরি সহ। এর অর্থ এটির সাথে প্রোগ্রামটির নিজস্ব ওপেনসেল প্যাকেজ রয়েছে - এই প্রোগ্রামটিও আপডেট করুন! কারও যদি উপলভ্য না থাকে তবে অবিলম্বে বিক্রেতাকে অবহিত করুন এবং যদি সম্ভব হয় তবে এই অ্যাপ্লিকেশনটি স্থগিত করুন!

— নাথান সি
সূত্র

2

এটা সম্ভব যে আপনি প্রায়শই জিজ্ঞাসিত পৃষ্ঠায় তালিকাভুক্ত বাগটি ব্যবহার করছেন are এটি প্রদর্শিত হয় যে নির্দিষ্ট পরিস্থিতিতে আপনি এমনকি প্যাচড সিস্টেমেও একটি ঝুঁকিপূর্ণ বিজ্ঞপ্তি পেতে পারেন।

আমি মিথ্যা পজিটিভ পাচ্ছি (লাল)!

সাবধানতা অবলম্বন করুন, আপনি যদি বোতামটি হাতুড়ি দিয়ে সাইটটি গ্লিট করেন না, তবে আমি কোনও লালকে লাল ভাবতে পারি না এমন উপায় নেই। মেমোরি ডাম্পটি পরীক্ষা করুন, যদি এটি সেখানে থাকে তবে সরঞ্জামটি কোথাও থেকে পেয়েছে। ধরা যাক আমি 99% নিশ্চিত যে আপনি সঠিকভাবে আপডেট করার পরে সমস্ত প্রক্রিয়া পুনরায় শুরু করলে আপনার আরও ভাল দেখা উচিত।

আপডেট: তবুও, আমি অবিচ্ছিন্ন সংস্করণগুলি লাল হয়ে যাওয়ার ধারাবাহিকভাবে প্রতিবেদন পাচ্ছি। আপনি প্রভাবিত হলে দয়া করে ইস্যুতে মন্তব্য করুন। আমি 3 টি বিষয় খুঁজছি: মেমরি ডাম্প (তারা কোথা থেকে এসেছিল তা নির্ধারণ করার জন্য), টাইমস্ট্যাম্পগুলি (যথাসম্ভব যথাযথ, নেটওয়ার্ক ট্যাব দিয়ে চেষ্টা করুন), আপনি কী ক্লিক করেছেন এবং কী টাইপ করেছেন তার একটি সম্পূর্ণ বিবরণ।

আপনার সিস্টেমটি আর ঝুঁকিপূর্ণ নয় তা নিশ্চিত করার জন্য আমি কোয়ালিসের মতো বিকল্প পরীক্ষার মাধ্যমে পরীক্ষার পরামর্শ দেব । যদি এটি গিথুবকে না নিয়ে যায় এবং এটি রিপোর্ট করে।

এখনও ভেঙে গেছে

কি? আপনি যে "সার্ভার" এর বিষয়ে কথা বলছেন তাতে একটি স্থির লিঙ্কযুক্ত ওপেনএসএসএল লাইব্রেরি থাকতে পারে। এর অর্থ হ'ল আপনি নিজের সিস্টেমে আপডেট হওয়া সত্ত্বেও আপনার অ্যাপ্লিকেশনটি এখনও ঝুঁকিতে রয়েছে! আপনার কোনও প্যাচ পেতে তত্ক্ষণাত সফ্টওয়্যার বিক্রেতার সাথে কথা বলতে হবে বা আপনি না করা পর্যন্ত পরিষেবাটি বন্ধ করে দিতে হবে।

প্যাচটি শেষ না হওয়া পর্যন্ত কি আমাকে সত্যিই পরিষেবাটি অক্ষম করতে হবে?

হ্যাঁ, সম্ভাব্য অবহেলার দিক থেকে একটি দুর্বল পরিষেবা চালানো অত্যন্ত বিপজ্জনক! আপনি সার্ভারটি পরিবহন থেকে ডিক্রিপ্ট করে এমন কোনও ডেটা ফাঁস করতে পারেন এবং এটি জানেন না!

— জ্যাকব
সূত্র

1

আপনার এনজিএনক্স সিস্টেম লাইব্রেরি ব্যবহার করেছে তা নিশ্চিত করুন: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

— VBart
সূত্র

0

443-তে চলমান অ্যাপ্লিকেশনটি ওপেনএসএসএল-এর জন্য একটি স্ট্যাটিক লাইব্রেরি ব্যবহার করে এটি খুব সম্ভব। এই যদি হয় তাহলে, আপনি আপডেট করতে হবে যে আবেদন আর শিকারে পরিণত হয়ো করতে।

— নাথান সি
সূত্র

0

অবশেষে আমি আমার ইস্যুটি ওপির মতোই ঠিক করতে সক্ষম হয়েছি। আমার সার্ভারটি বিটনামির একটি ল্যাম্প স্ট্যাক। এই নির্দেশাবলী অনুসরণ:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

— ঔজ্বল্যহীন
সূত্র