হৃদয়গ্রাহী কী ssh কীগুলিকে প্রভাবিত করে?


40

সাম্প্রতিক হার্টবেল্ড বাগটি আমি যে এসএসএস কীগুলি তৈরি করেছি এবং গিথুব, হেরোকু এবং অন্যান্য অনুরূপ সাইটগুলির সাথে কোডটি পুশ / টানতে ব্যবহার করে তা কী প্রভাব ফেলে?

আমি যে কীগুলি ব্যবহার করছি তা প্রতিস্থাপন করা দরকার?

উত্তর:


47

না, হার্টবেল্ড সত্যই এসএসএইচ কীগুলিকে প্রভাবিত করে না, সুতরাং আপনার সম্ভবত ব্যবহৃত এসএসএইচ কীগুলি প্রতিস্থাপনের প্রয়োজন হবে না।

প্রথমত, এসএসএল এবং এসএসএইচ দুটি পৃথক ব্যবহারের জন্য দুটি পৃথক সুরক্ষা প্রোটোকল। তেমনি, ওপেনএসএসএল এবং ওপেনএসএসএইচ দুটি সম্পূর্ণ ভিন্ন সফ্টওয়্যার প্যাকেজ, তাদের নামের সাথে মিল থাকলেও।

দ্বিতীয়ত, হার্টবেল্ড এক্সপ্লিটটি দুর্বল ওপেনএসএসএল টিএলএস / ডিটিএলএস পিয়ারকে এলোমেলো k৪ কেবি মেমরি ফিরিয়ে আনতে পারে তবে এটি অবশ্যই ওপেনএসএসএল-ব্যবহার প্রক্রিয়াতে অ্যাক্সেসযোগ্য মেমরির মধ্যে সীমাবদ্ধ রয়েছে। যদি ওপেনএসএসএল-ব্যবহারের প্রক্রিয়াটিতে আপনার এসএসএইচ ব্যক্তিগত কীতে অ্যাক্সেস না থাকে তবে এটি হার্টবেলডের মাধ্যমে এটি ফাঁস করতে পারে না।

এছাড়াও, আপনি সাধারণত সংযুক্ত হওয়ার জন্য এসএসএইচ ব্যবহার করেন এমন সার্ভারগুলিতে আপনার এসএসএইচ পাবলিক কীটি রেখে দেন এবং নামটি থেকে বোঝা যায়, একটি পাবলিক কী এমন একটি কী যা আপনি প্রচার করতে পারেন। কে জানে তা বিবেচ্য নয়। আসলে, আপনি জনসাধারণকে আপনার সঠিক পাবলিক কীটি জানতে চান to

ওবুএসএসএল এর দুর্বল সংস্করণগুলি তাদের ক্লায়েন্ট-সাইড টিএলএস / ডিটিএলএস লাইব্রেরি হিসাবে ব্যবহার করে এমন দুর্বলতা ক্লায়েন্ট অ্যাপগুলিকে প্রভাবিত করতে পারে বলে উল্লেখ করার জন্য @ بابোকে ধন্যবাদ জানাই Thanks সুতরাং, উদাহরণস্বরূপ, যদি আপনার ওয়েব ব্রাউজার বা আপনার এসএসএল-ভিত্তিক ভিপিএন ক্লায়েন্ট ওপেনএসএসএল এর একটি দুর্বল সংস্করণ ব্যবহার করে এবং একটি দূষিত সার্ভারের সাথে সংযুক্ত থাকে, তবে সেই দূষিত সার্ভারটি সেই ক্লায়েন্ট সফ্টওয়্যারটির মেমরির এলোমেলো স্নিপেটগুলি দেখার জন্য হার্টলেড ব্যবহার করতে পারে। যদি সেই ক্লায়েন্ট অ্যাপ্লিকেশনটিতে কোনও কারণে আপনার এসএসএইচ প্রাইভেট কীগুলির মেমরির একটি অনুলিপি থাকে, তবে এটি হার্টলেডের মাধ্যমে ফাঁস হতে পারে।

আমার মাথার শীর্ষে, আমি এসএসএইচ ছাড়া এমন কোনও সফ্টওয়্যার নিয়ে ভাবছি না যা মেমরিতে আপনার এনক্রিপ্ট করা এসএসএইচ প্রাইভেট কীটির একটি অনুলিপি রাখতে পারে। ভাল, এটি ধরে নিয়েছে যে আপনি আপনার এসএসএইচ প্রাইভেট কীগুলি ডিস্কে এনক্রিপ্ট করেছেন। আপনি যদি নিজের এসএসএইচ প্রাইভেট কীগুলি ডিস্কে এনক্রিপ্ট না রাখেন তবে আমি মনে করি আপনি নেটওয়ার্কের মাধ্যমে আপনার হোম ডিরেক্টরিটি অনুলিপি করতে বা ব্যাকআপ করতে কিছু ওপেনএসএসএল টিএলএস-ব্যবহার করে ফাইল স্থানান্তর বা ব্যাকআপ প্রোগ্রাম ব্যবহার করতে পারতেন (আপনার ~/.ssh/id_rsaবা অন্য এসএসএইচ প্রাইভেট কী সহ) ), তারপরে এটিতে মেমরিতে আপনার এসএসএইচ প্রাইভেট কীটির একটি এনক্রিপ্ট করা অনুলিপি থাকতে পারে। তারপরে আবার, আপনি যদি কোনও ক্ষতিকারক সার্ভারে আপনার এনক্রিপ্ট করা এসএসএইচ ব্যক্তিগত কীটিকে ব্যাক আপ করছেন, আপনি সম্ভবত হার্টবলিডের চেয়ে বড় উদ্বেগ পেয়ে গেছেন। :-)


3
নোট করুন যে সর্বজনীন মন্তব্যটি সত্যই অপ্রাসঙ্গিক - হৃদয়যুক্ত ক্লায়েন্ট এবং সার্ভার উভয়কেই প্রভাবিত করে। তবে আপনি সঠিক যে এসএসএইচ পৃথক এবং এই বিশেষ দুর্বলতার দ্বারা প্রভাবিত নয়
বব

1
@ বোবি ধন্যবাদ, হার্টবেল্ড রাইটআপগুলি এতটা সার্ভার-ফোকাসড হয়েছে যে আমি ক্লায়েন্ট-সাইড র্যামফিকেশনগুলি বুঝতে পারি নি। আমি আমার উত্তরটি আরও ভাল ঠিকানায় আপডেট করেছি। আমি এখনও মনে করি লোকেরা কোথাও কোনও এসএসএইচ প্রাইভেট কী রেখে গেছে বলে খুব সম্ভবত সম্ভাবনা নেই যে হার্টবেল্ড-অরক্ষিত প্রক্রিয়া এটি ফাঁস করতে সক্ষম হতে পারে।
স্পিফ

1
একটি উল্লেখ করা উচিত যে এসএসএইচ এনক্রিপশনের জন্য ওপেনএসএসএল লাইব্রেরি ব্যবহার করে। আপনি যেমন উল্লেখ করেছেন, তবে ssh হৃদয়গ্রাহী শোষণ দ্বারা প্রভাবিত হয় না কারণ এটি একটি ভিন্ন প্রোটোকল।
psibar

1

"দ্বিতীয়ত, হৃদয়গ্রাহী শোষণ দুর্বল ওপেনএসএসএল টিএলএস / ডিটিএলএস পিয়ারকে এলোমেলো k৪ কেবি মেমরি ফিরিয়ে আনায়, তবে এটি অবশ্যই ওপেনএসএসএল-ব্যবহার প্রক্রিয়াতে অ্যাক্সেসযোগ্য মেমরির মধ্যে সীমাবদ্ধ রয়েছে।"

যদি মেশিনটি আপস হয়ে যায় তবে আপনি কীভাবে এটিতে এসএসএস সহ কোনও কিছুতে বিশ্বাস করতে পারেন? হার্টলিড.কম থেকে

"অনুশীলনে কি ফুটো?

আমরা আক্রমণকারীর দৃষ্টিকোণ থেকে আমাদের নিজস্ব কিছু পরিষেবা পরীক্ষা করেছি। আমরা কোনও চিহ্ন ছাড়াই বাইরে থেকে নিজেদের আক্রমণ করেছি। কোনও সুবিধাযুক্ত তথ্য বা শংসাপত্রাদি ব্যবহার না করে আমরা আমাদের X.509 শংসাপত্র, ব্যবহারকারীর নাম এবং পাসওয়ার্ড, তাত্ক্ষণিক বার্তা, ইমেল এবং ব্যবসায়িক সমালোচনামূলক নথি এবং যোগাযোগের জন্য ব্যবহৃত গোপন কীগুলি চুরি করতে সক্ষম হয়েছি। "

যে কোনও সার্ভারে কোনও পাসফ্রেজ না দিয়ে একটি প্রাইভেট কী রেখেছিল, তারা ধরে নিয়েছে যে এটি দূষিত নয় ... তবে পরিণত হয়েছে। খ / সি এস এস বাগটি ব্যবহারকারীর পাসওয়ার্ড আউট করার অনুমতি দিয়েছে, এমন একটি ব্যবহারকারী যার 'সুডো' ছিল ... এটি সম্ভবত কোনও সমস্যা নয় .... তবে ...

মানুষ কখনও কখনও পাগল জিনিস না

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/


আমি মনে করি যে উদ্ধৃতিটি চুরি হওয়া টিএলএস কী ব্যবহার করে মধ্য আক্রমণে একজনের কথা উল্লেখ করছে। আক্রমণকারী অন্যান্য প্রোগ্রাম থেকে মেমরি অ্যাক্সেস করতে সক্ষম হবে না অন্যথায় এটি অপারেটিং সিস্টেমটিতে একটি সুরক্ষা সমস্যা হাইলাইট করে।
ম্যাথু মিচেল

যদি কোনও ব্যবহারকারী তার এনক্রিপ্ট করা বেসরকারী এসএসএইচ কী সার্ভারে রাখে, তবে সে আমাদের সহায়তার বাইরে। তাকে piv.pivpiv.dk এ একটি লিঙ্ক প্রেরণ করুন
স্পিফ 21
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.