বাগটি হার্টবেল্ড নামে পরিচিত ।
আমি কি দুর্বল?
সাধারণত, আপনি যদি এমন কোনও সার্ভার চালনা করেন যা আপনি কোনও সময়ে কোনও এসএসএল কী তৈরি করেছেন you're বেশিরভাগ শেষ ব্যবহারকারীরা (সরাসরি) প্রভাবিত হয় না; কমপক্ষে ফায়ারফক্স এবং ক্রোম ওপেনএসএসএল ব্যবহার করে না। এসএসএইচ প্রভাবিত হয় না। উবুন্টু প্যাকেজগুলির বিতরণ প্রভাবিত হয় না (এটি জিপিজি স্বাক্ষরগুলির উপর নির্ভর করে)।
আপনি যদি এমন কোনও সার্ভার চালনা করেন যা ওপেনএসএসএল সংস্করণগুলি 1.0–1.0.1f ব্যবহার করে (বাগ আবিষ্কার হওয়ার পর থেকে প্যাচ করা কোর্স সংস্করণগুলি বাদে)। প্রভাবিত উবুন্টু সংস্করণগুলি 14.04 বিশ্বাসযোগ্য প্রাক রিলিজের মাধ্যমে 11.10 একরিক। এটি একটি বাস্তবায়ন বাগ, প্রোটোকলের কোনও ত্রুটি নয়, সুতরাং কেবলমাত্র ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন প্রোগ্রামগুলি প্রভাবিত হয়। আপনার যদি ওপেনএসএসএল এর পুরানো 0.9.x সংস্করণের বিপরীতে কোনও প্রোগ্রাম লিঙ্ক করা থাকে তবে এটি প্রভাবিত হয় না। শুধুমাত্র এসএসএল প্রোটোকল প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয়; অন্যান্য জিনিসগুলির জন্য ওপেনএসএসএল ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয় না।
আপনি যদি ইন্টারনেটের সংস্পর্শে থাকা কোনও দুর্বল সার্ভার চালিয়ে যান তবে 2014-04-07-এ ঘোষণার পর থেকে আপনার লগগুলি কোনও সংযোগ না দেখানো পর্যন্ত এটিকে আপোস করুন। (এটি অনুমান করে যে এটির ঘোষণার আগে দুর্বলতা কাজে লাগানো হয়নি)) যদি আপনার সার্ভারটি কেবল অভ্যন্তরীণভাবেই প্রকাশিত হয় তবে কীগুলি পরিবর্তন করার দরকার আছে কিনা তা অন্যান্য সুরক্ষা ব্যবস্থাগুলি কী রয়েছে তার উপর নির্ভর করবে।
এর প্রভাব কী?
বাগটি কোনও ক্লায়েন্টকে যারা আপনার এসএসএল সার্ভারের সাথে সংযোগ করতে পারে সেটিকে সার্ভার থেকে প্রায় k৪ কেবি মেমরি পুনরুদ্ধার করতে দেয়। ক্লায়েন্টকে কোনওভাবেই প্রমাণীকরণের দরকার নেই। আক্রমণ পুনরাবৃত্তি করে, ক্লায়েন্ট ক্রমাগত প্রয়াসে মেমরির বিভিন্ন অংশ ডাম্প করতে পারে।
আক্রমণকারী পুনরুদ্ধার করতে সক্ষম হতে পারে এমন একটি সমালোচনামূলক অংশ হ'ল সার্ভারের এসএসএল ব্যক্তিগত কী। এই ডেটা দিয়ে আক্রমণকারী আপনার সার্ভারটি ছদ্মবেশ তৈরি করতে পারে।
আমি কীভাবে একটি সার্ভারে পুনরুদ্ধার করব?
সমস্ত প্রভাবিত সার্ভারগুলি অফলাইনে নিন। যতক্ষণ তারা চলছে, ততক্ষণ তারা সম্ভাব্য সমালোচনামূলক ডেটা ফাঁস করছে।
libssl1.0.0
প্যাকেজ আপগ্রেড করুন এবং নিশ্চিত হয়ে নিন যে সমস্ত আক্রান্ত সার্ভার পুনরায় চালু হয়েছে।
প্রভাবিত প্রক্রিয়াগুলি এখনও `p গ্রেপ 'লিবিএসএল দিয়ে চলছে কিনা তা আপনি পরীক্ষা করতে পারেন। (মুছে ফেলা) '/ proc / / মানচিত্র ' `
নতুন কী তৈরি করুন । এটি প্রয়োজনীয় কারণ বাগটি কোনও আক্রমণকারীকে পুরানো ব্যক্তিগত কীটি পাওয়ার অনুমতি দেয়। আপনি প্রথমে একই পদ্ধতি ব্যবহার করেন।
- আপনি যদি কোনও শংসাপত্র কর্তৃপক্ষের স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে আপনার নতুন পাবলিক কীগুলি আপনার সিএতে জমা দিন। আপনি যখন নতুন শংসাপত্র পাবেন, এটি আপনার সার্ভারে ইনস্টল করুন।
- যদি আপনি স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে এটি আপনার সার্ভারে ইনস্টল করুন।
- যে কোনও উপায়ে, পুরানো কীগুলি এবং শংসাপত্রগুলি বাইরে সরিয়ে দিন (তবে এগুলি মুছবেন না, কেবল তারা নিশ্চিত হন যে তারা আর ব্যবহার হচ্ছে না)।
এখন আপনার কাছে নতুন আপসহীন কী রয়েছে তাই আপনি আপনার সার্ভারটি অনলাইনে ফিরিয়ে আনতে পারেন ।
পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।
ক্ষতির মূল্যায়ন : এসএসএল সংযোগগুলি সরবরাহ করার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা সম্ভাব্যভাবে ফাঁস হয়ে গেছে। এর মধ্যে ব্যবহারকারীর পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে। আপনার এই ডেটাটি কী হতে পারে তা মূল্যায়ন করতে হবে।
- আপনি যদি এমন কোনও পরিষেবা চালাচ্ছেন যা পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয়, তবে দুর্বলতার কথা ঘোষণার আগে যে সমস্ত ব্যবহারকারীরা সংযুক্ত ছিলেন তাদের পাসওয়ার্ডগুলি আপোস হিসাবে বিবেচনা করা উচিত। (একটু আগে, কারণ পাসওয়ার্ডটি কিছুক্ষণের জন্য স্মৃতিতে অব্যবহৃত থাকতে পারে)) আপনার লগগুলি পরীক্ষা করুন এবং কোনও আক্রান্ত ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করুন।
- সমস্ত সেশন কুকিজ অকার্যকর করুন, কারণ সেগুলি আপস করা হতে পারে।
- ক্লায়েন্টের শংসাপত্রগুলি আপোস করা হয় না।
- দুর্বলতার একটু আগে থেকেই যে কোনও ডেটা এক্সচেঞ্জ করা হয়েছিল সেটি সার্ভারের স্মৃতিতে থাকতে পারে এবং তাই আক্রমণকারীটির কাছে ফাঁস হয়ে গেছে।
- যদি কেউ একটি পুরানো এসএসএল সংযোগ রেকর্ড করে থাকে এবং আপনার সার্ভারের কীগুলি পুনরুদ্ধার করে, তারা এখন তাদের ট্রান্সক্রিপ্টটি ডিক্রিপ্ট করতে পারে। (যদি পিএফএস নিশ্চিত না করা হয় - যদি আপনি না জানেন তবে এটি ছিল না))
আমি কিভাবে একটি ক্লায়েন্ট পুনরুদ্ধার করতে পারি?
কেবলমাত্র কয়েকটি পরিস্থিতি রয়েছে যেখানে ক্লায়েন্টের অ্যাপ্লিকেশনগুলি প্রভাবিত হয়। সার্ভারের পাশের সমস্যাটি হ'ল যে কেউ একটি সার্ভারের সাথে সংযোগ করতে এবং বাগটি কাজে লাগাতে পারে। কোনও ক্লায়েন্টকে শোষণ করার জন্য, তিনটি শর্ত অবশ্যই পূরণ করতে হবে:
- ক্লায়েন্ট প্রোগ্রামটি এসএসএল প্রোটোকলটি প্রয়োগ করতে একটি বগি সংস্করণ ওপেনএসএসএল লাইব্রেরি ব্যবহার করেছে।
- ক্লায়েন্টটি দূষিত সার্ভারের সাথে সংযুক্ত। (সুতরাং উদাহরণস্বরূপ, আপনি যদি কোনও ইমেল সরবরাহকারীর সাথে সংযুক্ত থাকেন তবে এটি উদ্বেগের বিষয় নয়)) সার্ভারের মালিক দুর্বলতার বিষয়ে সচেতন হওয়ার পরে সম্ভবত এটি করা হয়েছিল 2014-04-07 পরে pres
- ক্লায়েন্ট প্রক্রিয়াটির মেমোরিতে গোপনীয় ডেটা ছিল যা সার্ভারের সাথে ভাগ করা হয়নি। (সুতরাং আপনি যদি কেবল
wget
কোনও ফাইল ডাউনলোড করতে দৌড়েন তবে ফাঁস হওয়ার কোনও ডেটা ছিল না))
আপনি যদি 2014-04-07 সন্ধ্যায় ইউটিসি এবং আপনার ওপেনএসএসএল লাইব্রেরিটি আপগ্রেড করার মধ্যে করেন তবে ক্লায়েন্ট প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা আপস করার জন্য বিবেচনা করুন।
তথ্যসূত্র