ওপেনএসএসএলে হার্টবেলড বাগ (সিভিই -2014-0160) কীভাবে প্যাচ করবেন?


152

আজ অবধি, ওপেনএসএসএল- তে একটি বাগ পাওয়া গেছে (অন্তর্ভুক্ত) এবং এর 1.0.1মাধ্যমে সংস্করণগুলিকে প্রভাবিত করে ।1.0.1f1.0.2-beta

উবুন্টু 12.04 সাল থেকে, আমরা সকলেই এই বাগের জন্য ঝুঁকির মধ্যে আছি। এই দুর্বলতাটিকে প্যাচ করার জন্য, প্রভাবিত ব্যবহারকারীদের ওপেনএসএসএল আপডেট করা উচিত 1.0.1g

প্রতিটি আক্রান্ত ব্যবহারকারী এখন এই আপডেটটি কীভাবে প্রয়োগ করতে পারেন ?


আপনার কি ওপেনসেলের কোনও প্রভাবিত সংস্করণ রয়েছে?
ব্রায়াম

আমি প্যাচ করা সংস্করণটি 1.0.1-4ubuntu5.12 পেয়েছি এবং আমি অ্যাপাচি পরিষেবাটি পুনরায় চালু করেছি কিন্তু ফিলিপো.আইও / আমার সাইটে পরীক্ষামূলক পরীক্ষাগুলি এখনও বলছে যে আমি দুর্বল কোনও ধারণা কেন?

1
@ ম্যাট that সাইটটি কী পরীক্ষা করে তা আমি জানি না, তবে এটি সনাক্ত করতে পারে যে আপনি কোনও পুরানো কী ব্যবহার করছেন। যেহেতু কীটি ফাঁস হয়ে গেছে, আপনার এটি পুনরায় তৈরি করা দরকার।
গিলস

1
আপনি ওপেনএসএসএলকে নতুন নতুন সংস্করণে আপডেট করতে চান না, এটি একটি অবিশ্বাস্য ব্যথা pain : অনেক সহজ এইমাত্র আপডেট প্যাকেজ যে সমস্যা প্যাচ ইনস্টল করা ubuntu.com/usn/usn-2165-1
sarnold

আপনি আপগ্রেড করার পরে আপনার পরিষেবাগুলি আবার চালু করেছেন?
এক্সেল

উত্তর:


141

নিরাপত্তা সংক্রান্ত আপডেট 12.04 জন্য উপলব্ধ, 12.10, 13.10 এবং 14.04 দেখতে উবুন্টু সিকিউরিটি নোটিশ USN-2165-1

সুতরাং প্রথমে আপনাকে উপলব্ধ সুরক্ষা আপডেটগুলি প্রয়োগ করতে হবে, উদাহরণস্বরূপ চালানো running

sudo apt-get update
sudo apt-get upgrade

কমান্ড লাইন থেকে।

ক্ষতিগ্রস্ত ওপেনএসএসএল সংস্করণ ব্যবহার করে এমন পরিষেবাগুলি (এইচটিটিপি, এসএমটিপি ইত্যাদি) পুনরায় চালু করতে ভুলবেন না তবে অন্যথায় আপনি এখনও ঝুঁকির মধ্যে আছেন। হৃদয়গ্রাহীও দেখুন : এটি কী এবং এটিকে প্রশমিত করার বিকল্পগুলি কী কী? সার্ভারফল্ট.কম এ।

নিম্নলিখিত কমান্ডটি সমস্ত পরিষেবাদি (আপগ্রেডের পরে) দেখায় যা পুনরায় আরম্ভ করা দরকার:

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

এর পরে, আপনাকে সমস্ত সার্ভার এসএসএল কীগুলি পুনরায় জেনারেট করতে হবে , তারপরে আপনার কীগুলি ফাঁস হয়েছে কিনা তা মূল্যায়ন করুন, সেক্ষেত্রে আক্রমণকারীরা আপনার সার্ভারগুলি থেকে গোপনীয় তথ্য পুনরুদ্ধার করতে পারে।


23
নিশ্চিত নয় যে এটি উবুন্টু 12.04.4 এলটিএসে কাজ করে। সম্পূর্ণ আপডেট পরে, openssl versionদেয় OpenSSL 1.0.1 14 Mar 2012। প্যাচ করা সংস্করণ না, তাই না? নাকি আমি এটি ভুলভাবে লিখছি?
পল কেন্ট্রেল

7
উবুন্টু 13.04 দিয়ে কী করবেন? কোনও আপগ্রেড করা
ওপেনসেল

20
উবুন্টু 12.04 এ এমনকি স্থির ওপেনএসএসএল সংস্করণ প্রদর্শন করে 1.0.1 14 Mar 2012। আপনার ইনস্টলেশনটি ফিক্স সহ অন্তর্ভুক্ত রয়েছে কিনা তা জানতে ক্রিমির উত্তর পড়ুন ।
ডান

7
ধন্যবাদ, @ লাদান! @ ক্রিমির উত্তরটি এখানে পুনরায় সংক্ষেপণ করুন: আপনি যদি চালনা করেন dpkg -l | grep ' openssl 'এবং আপনি পান 1.0.1-4ubuntu5.12তবে আপনি যাবেন ভাল।
পল কেন্ট্রেল

20
প্যাচিং এবং পুনরায় চালু করা যথেষ্ট নয়। আপনাকে কীগুলি পুনরায় জেনারেট করতে হবে এবং আপনার কীগুলি পাশাপাশি অন্যান্য গোপনীয় উপাদান ফাঁস হয়েছে কিনা তা মূল্যায়ন করতে হবে। উদাহরণস্বরূপ দেখুন হার্টলেড মানে কি প্রতিটি এসএসএল সার্ভারের জন্য নতুন শংসাপত্র রয়েছে?
গিলস

71

বাগটি হার্টবেল্ড নামে পরিচিত ।

আমি কি দুর্বল?

সাধারণত, আপনি যদি এমন কোনও সার্ভার চালনা করেন যা আপনি কোনও সময়ে কোনও এসএসএল কী তৈরি করেছেন you're বেশিরভাগ শেষ ব্যবহারকারীরা (সরাসরি) প্রভাবিত হয় না; কমপক্ষে ফায়ারফক্স এবং ক্রোম ওপেনএসএসএল ব্যবহার করে না। এসএসএইচ প্রভাবিত হয় না। উবুন্টু প্যাকেজগুলির বিতরণ প্রভাবিত হয় না (এটি জিপিজি স্বাক্ষরগুলির উপর নির্ভর করে)।

আপনি যদি এমন কোনও সার্ভার চালনা করেন যা ওপেনএসএসএল সংস্করণগুলি 1.0–1.0.1f ব্যবহার করে (বাগ আবিষ্কার হওয়ার পর থেকে প্যাচ করা কোর্স সংস্করণগুলি বাদে)। প্রভাবিত উবুন্টু সংস্করণগুলি 14.04 বিশ্বাসযোগ্য প্রাক রিলিজের মাধ্যমে 11.10 একরিক। এটি একটি বাস্তবায়ন বাগ, প্রোটোকলের কোনও ত্রুটি নয়, সুতরাং কেবলমাত্র ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন প্রোগ্রামগুলি প্রভাবিত হয়। আপনার যদি ওপেনএসএসএল এর পুরানো 0.9.x সংস্করণের বিপরীতে কোনও প্রোগ্রাম লিঙ্ক করা থাকে তবে এটি প্রভাবিত হয় না। শুধুমাত্র এসএসএল প্রোটোকল প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয়; অন্যান্য জিনিসগুলির জন্য ওপেনএসএসএল ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয় না।

আপনি যদি ইন্টারনেটের সংস্পর্শে থাকা কোনও দুর্বল সার্ভার চালিয়ে যান তবে 2014-04-07-এ ঘোষণার পর থেকে আপনার লগগুলি কোনও সংযোগ না দেখানো পর্যন্ত এটিকে আপোস করুন। (এটি অনুমান করে যে এটির ঘোষণার আগে দুর্বলতা কাজে লাগানো হয়নি)) যদি আপনার সার্ভারটি কেবল অভ্যন্তরীণভাবেই প্রকাশিত হয় তবে কীগুলি পরিবর্তন করার দরকার আছে কিনা তা অন্যান্য সুরক্ষা ব্যবস্থাগুলি কী রয়েছে তার উপর নির্ভর করবে।

এর প্রভাব কী?

বাগটি কোনও ক্লায়েন্টকে যারা আপনার এসএসএল সার্ভারের সাথে সংযোগ করতে পারে সেটিকে সার্ভার থেকে প্রায় k৪ কেবি মেমরি পুনরুদ্ধার করতে দেয়। ক্লায়েন্টকে কোনওভাবেই প্রমাণীকরণের দরকার নেই। আক্রমণ পুনরাবৃত্তি করে, ক্লায়েন্ট ক্রমাগত প্রয়াসে মেমরির বিভিন্ন অংশ ডাম্প করতে পারে।

আক্রমণকারী পুনরুদ্ধার করতে সক্ষম হতে পারে এমন একটি সমালোচনামূলক অংশ হ'ল সার্ভারের এসএসএল ব্যক্তিগত কী। এই ডেটা দিয়ে আক্রমণকারী আপনার সার্ভারটি ছদ্মবেশ তৈরি করতে পারে।

আমি কীভাবে একটি সার্ভারে পুনরুদ্ধার করব?

  1. সমস্ত প্রভাবিত সার্ভারগুলি অফলাইনে নিন। যতক্ষণ তারা চলছে, ততক্ষণ তারা সম্ভাব্য সমালোচনামূলক ডেটা ফাঁস করছে।

  2. libssl1.0.0প্যাকেজ আপগ্রেড করুন এবং নিশ্চিত হয়ে নিন যে সমস্ত আক্রান্ত সার্ভার পুনরায় চালু হয়েছে।
    প্রভাবিত প্রক্রিয়াগুলি এখনও `p গ্রেপ 'লিবিএসএল দিয়ে চলছে কিনা তা আপনি পরীক্ষা করতে পারেন। (মুছে ফেলা) '/ proc / / মানচিত্র ' `

  3. নতুন কী তৈরি করুন । এটি প্রয়োজনীয় কারণ বাগটি কোনও আক্রমণকারীকে পুরানো ব্যক্তিগত কীটি পাওয়ার অনুমতি দেয়। আপনি প্রথমে একই পদ্ধতি ব্যবহার করেন।

    • আপনি যদি কোনও শংসাপত্র কর্তৃপক্ষের স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে আপনার নতুন পাবলিক কীগুলি আপনার সিএতে জমা দিন। আপনি যখন নতুন শংসাপত্র পাবেন, এটি আপনার সার্ভারে ইনস্টল করুন।
    • যদি আপনি স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে এটি আপনার সার্ভারে ইনস্টল করুন।
    • যে কোনও উপায়ে, পুরানো কীগুলি এবং শংসাপত্রগুলি বাইরে সরিয়ে দিন (তবে এগুলি মুছবেন না, কেবল তারা নিশ্চিত হন যে তারা আর ব্যবহার হচ্ছে না)।
  4. এখন আপনার কাছে নতুন আপসহীন কী রয়েছে তাই আপনি আপনার সার্ভারটি অনলাইনে ফিরিয়ে আনতে পারেন ।

  5. পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।

  6. ক্ষতির মূল্যায়ন : এসএসএল সংযোগগুলি সরবরাহ করার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা সম্ভাব্যভাবে ফাঁস হয়ে গেছে। এর মধ্যে ব্যবহারকারীর পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে। আপনার এই ডেটাটি কী হতে পারে তা মূল্যায়ন করতে হবে।

    • আপনি যদি এমন কোনও পরিষেবা চালাচ্ছেন যা পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয়, তবে দুর্বলতার কথা ঘোষণার আগে যে সমস্ত ব্যবহারকারীরা সংযুক্ত ছিলেন তাদের পাসওয়ার্ডগুলি আপোস হিসাবে বিবেচনা করা উচিত। (একটু আগে, কারণ পাসওয়ার্ডটি কিছুক্ষণের জন্য স্মৃতিতে অব্যবহৃত থাকতে পারে)) আপনার লগগুলি পরীক্ষা করুন এবং কোনও আক্রান্ত ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করুন।
    • সমস্ত সেশন কুকিজ অকার্যকর করুন, কারণ সেগুলি আপস করা হতে পারে।
    • ক্লায়েন্টের শংসাপত্রগুলি আপোস করা হয় না।
    • দুর্বলতার একটু আগে থেকেই যে কোনও ডেটা এক্সচেঞ্জ করা হয়েছিল সেটি সার্ভারের স্মৃতিতে থাকতে পারে এবং তাই আক্রমণকারীটির কাছে ফাঁস হয়ে গেছে।
    • যদি কেউ একটি পুরানো এসএসএল সংযোগ রেকর্ড করে থাকে এবং আপনার সার্ভারের কীগুলি পুনরুদ্ধার করে, তারা এখন তাদের ট্রান্সক্রিপ্টটি ডিক্রিপ্ট করতে পারে। (যদি পিএফএস নিশ্চিত না করা হয় - যদি আপনি না জানেন তবে এটি ছিল না))

আমি কিভাবে একটি ক্লায়েন্ট পুনরুদ্ধার করতে পারি?

কেবলমাত্র কয়েকটি পরিস্থিতি রয়েছে যেখানে ক্লায়েন্টের অ্যাপ্লিকেশনগুলি প্রভাবিত হয়। সার্ভারের পাশের সমস্যাটি হ'ল যে কেউ একটি সার্ভারের সাথে সংযোগ করতে এবং বাগটি কাজে লাগাতে পারে। কোনও ক্লায়েন্টকে শোষণ করার জন্য, তিনটি শর্ত অবশ্যই পূরণ করতে হবে:

  • ক্লায়েন্ট প্রোগ্রামটি এসএসএল প্রোটোকলটি প্রয়োগ করতে একটি বগি সংস্করণ ওপেনএসএসএল লাইব্রেরি ব্যবহার করেছে।
  • ক্লায়েন্টটি দূষিত সার্ভারের সাথে সংযুক্ত। (সুতরাং উদাহরণস্বরূপ, আপনি যদি কোনও ইমেল সরবরাহকারীর সাথে সংযুক্ত থাকেন তবে এটি উদ্বেগের বিষয় নয়)) সার্ভারের মালিক দুর্বলতার বিষয়ে সচেতন হওয়ার পরে সম্ভবত এটি করা হয়েছিল 2014-04-07 পরে pres
  • ক্লায়েন্ট প্রক্রিয়াটির মেমোরিতে গোপনীয় ডেটা ছিল যা সার্ভারের সাথে ভাগ করা হয়নি। (সুতরাং আপনি যদি কেবল wgetকোনও ফাইল ডাউনলোড করতে দৌড়েন তবে ফাঁস হওয়ার কোনও ডেটা ছিল না))

আপনি যদি 2014-04-07 সন্ধ্যায় ইউটিসি এবং আপনার ওপেনএসএসএল লাইব্রেরিটি আপগ্রেড করার মধ্যে করেন তবে ক্লায়েন্ট প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা আপস করার জন্য বিবেচনা করুন।

তথ্যসূত্র


4
আমি বিশ্বাস করি না যে "এসএসএল / টিএলএস সংযোগগুলির কেবলমাত্র সার্ভারের দিকটিই প্রভাবিত হয়েছে" সত্য। openssl.org/news/secadv_20140407.txt বলছে এটি ক্লায়েন্ট বা সার্ভার উভয়েরই গোপনীয়তা প্রকাশ করতে পারে। ubuntu.com/usn/usn-2165-1 সম্মত হয়। দূষিত সার্ভারের সাথে সংযোগ করার সময় আপনি ক্লায়েন্ট শংসাপত্রগুলি ব্যবহার করার সম্ভাবনাগুলি খুব কম তবে সম্ভাবনাটি বিদ্যমান।
আরব

@আরম্ব আপনি ভাল বক্তব্য রাখেন এমনকি ক্লায়েন্টের শংসাপত্রগুলি ব্যবহৃত হয় কিনা তাও গুরুত্বপূর্ণ নয়, ডেটা ফাঁস শংসাপত্রগুলির ব্যবহারের সাথে সম্পর্কিত নয়। আমি পেশাদারদের তালিকাভুক্ত করেছি ।
গিলস

ক্লায়েন্ট শংসাপত্রগুলি হ'ল ক্ষেত্রে আপনি ব্যক্তিগত কীগুলি ফাঁস করবেন তবে হ্যাঁ, পাসওয়ার্ড, অনুমোদনের কুকিজ ইত্যাদি যেভাবেই ফাঁস হতে পারে। তবে, সাধারণ ব্যবহারে কার্ল বা উইজেটের মতো একটি ওপেনএসএসএল ভিত্তিক ক্লায়েন্টের সাথে, কোনও দূষিত সার্ভারের সাথে সংযোগ করার সময় আপনার কাছে মেমরির অন্যান্য সাইটগুলির গোপনীয়তা থাকবে না, তাই সেই ক্ষেত্রে আমি মনে করি আপনি ক্লায়েন্টকে গোপনীয়তা দিলে একমাত্র ফুটো হবে I কোনও বৈধ সাইটে এগুলি দেওয়ার প্রত্যাশা করা এবং শংসাপত্র যাচাইয়ের আগে আপনি সঠিক সাইটের সাথে সংযুক্ত নন বলে হৃদয়যুক্তরা হ্যান্ডশেক করার সময় এগুলি ফাঁস করেছিল।
আরম্ব

1
@ গিলস আপনি কি ক্লায়েন্টদের হৃদয়গ্রাহী হওয়ার পক্ষে দুর্বল বলে প্রমাণিত তার উত্তরের বিষয়ে আগ্রহী হতে পারেন ? । আমি এনগিনেক্স (প্রক্সি মোড), উইজেট, লিঙ্ক এবং অন্যান্যগুলিতে "আকর্ষণীয়" স্মৃতি অর্জন করতে সক্ষম হয়েছি।
লেকেনস্টেইন

1
@ মুহাম্মাদহুসেইনবাজি প্যাকেজে opensslকমান্ড লাইন সরঞ্জাম রয়েছে। এটি এসএসএল প্রোটোকল (যেমন অ্যাপাচি) প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন অ্যাপ্লিকেশনগুলি ব্যবহার করে না। তবে আপনার কেবল বিতরণের সুরক্ষা আপডেটগুলি প্রয়োগ করা উচিত।
গিলস

40

উবুন্টু রানটিতে কোন ওপেনএসএসএল সংস্করণ ইনস্টল করা আছে তা দেখতে:

dpkg -l | grep openssl

আপনি যদি নিম্নলিখিত সংস্করণ আউটপুটটি দেখতে পান, সিভিই -2014-0160 এর জন্য প্যাচ অন্তর্ভুক্ত করা উচিত।

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

Https://launchpad.net/ubuntu/+s Source/openssl/1.0.1-4ubuntu5.12 এ দেখলে এটি দেখায় যে কোন ধরণের বাগগুলি স্থির করা হয়েছে:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

2
আমি আপগ্রেড করেছি এবং সংস্করণ 5.12 পেয়েছি তবে এই সরঞ্জামটি এখনও আমাকে বলছে যে আমি ফিলিপ্পো.আইও / হার্টবলিং চিন্তাভাবনা?
toxaq

3
আমি এই দিকে আমাদের আপডেট করা সার্ভারগুলি পরীক্ষা করেছি এবং এটি আমাকে জানিয়েছে যে আমি ক্ষতিগ্রস্থ নই। আপনি কি আপনার সিস্টেমটি পুনরায় বুট করেছেন, বা কমপক্ষে আপনি নিশ্চিত যে সমস্ত প্রয়োজনীয় প্রক্রিয়া পুনরায় চালু হয়েছে?
ক্রিমি

3
ওপেনএসএল আপডেট করার পরে, আমাকে যা করতে হবে তা হ'ল অ্যাপাচি পরিষেবাটি পুনরায় চালু করতে হবে, তবে গ্রেফিউস কোনও সাহায্য করেনিsudo service apache2 restart
টম হার্ট

1
আমি কেবল আমার দুর্বলতার কারণটি খুঁজে পেয়েছি: আমার কাছে মোড-এসপিডি-বিটা ইনস্টল করা আছে। এটি মুছে ফেলা এবং অ্যাপাচি পুনরায় চালু করার পরে সমস্ত পরীক্ষা এখন সবুজ।
আন্দ্রেস রথ

3
আপডেট করা opensslঅ্যাপ্লিকেশন যেমন অ্যাপাচি, এনগিনেক্স বা পোস্টফিক্স ঠিক করে না। libssl1.0.0অন্যান্য পোস্টে বর্ণিত হিসাবে আপনাকে সেগুলি আপডেট করতে হবে এবং পুনরায় চালু করতে হবে।
tnj

17

যদি আপনার অ্যাপ্ট -গেট সংগ্রহস্থলগুলিতে কোনও প্রাক্পম্পাইল্ড 1.0.1g ওপেনএসএসএল সংস্করণ না থাকে , তাই কেবল অফিসিয়াল ওয়েবসাইট থেকে উত্সগুলি ডাউনলোড করুন এবং এটি সংকলন করুন।

সর্বশেষ ওপেনএসএল সংস্করণ সংকলন এবং ইনস্টল করতে একক কমান্ড লাইনের নীচে।

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

পুরানো ওপেনসেল বাইনারি ফাইলটি নতুন একটি দ্বারা একটি সিমলিংকের মাধ্যমে প্রতিস্থাপন করুন।

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

আপনারা সবাই ভাল আছেন!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

সিএফ এই ব্লগ পোস্ট

এনবি: ব্লগ পোস্টে যেমন বলা হয়েছে, এই কর্মসূচিটি "এনগিনেক্স এবং অ্যাপাচি সার্ভারকে ঠিক করবে না, যাদের 1.0.1 জি ওপেনএসএসএল উত্স দিয়ে পুনরায় সংযোগ করতে হবে।"


2
সাধারণত উবুন্টু নতুন প্রবাহ সংস্করণ সরবরাহ করে না তবে পরিবর্তনগুলি সর্বনিম্ন রাখতে সমস্ত সমর্থিত রিলিজের জন্য সংস্করণগুলি প্যাচ করে।
ফ্লোরিয়ান ডিয়েচ

1
দ্রষ্টব্য: ওপেনএসএসএল আপডেট করার পরে আপনি আপনার সার্ভারটি পুনরায় চালু করার বিষয়টি নিশ্চিত করুন। অ্যাপাচি এবং এনগিনেক্স নতুন লাইবটি তুলে নিয়েছে এবং দুর্বলতা বন্ধ হয়ে গেছে।
dAgegelov

6
হেই, এখন এই পোস্টিংয়ের বিশদটি পড়ার জন্য আমি সময় নিচ্ছি, আমি আরও বিস্মিত - ইন্টারনেটে কিছু র্যান্ডম জায়গা থেকে একটি টারবাল ডাউনলোড করা, আনপ্যাকিং করা এবং এর অংশগুলি মূল হিসাবে চালানো কেবল বেপরোয়া আচরণ। টার্বল স্বাক্ষরগুলি ডাউনলোড করে চেক করা থাকলে এটি আরও ভাল হবে তবে আপনি স্বাক্ষরগুলি সঠিক কী দ্বারা স্বাক্ষরিত হয়েছে তা নিশ্চিত করা নিজেই একটি কঠিন প্রশ্ন। বিতরণগুলি এরই মধ্যে টার্বল এবং প্যাচগুলির নিরাপদ প্রমাণ নিশ্চিত করার প্রয়াসে চলে গেছে। ধন্যবাদ।
sarnold

2
এখনই উত্স থেকে সংকলন করা এবং এপটি থেকে পরে আরও একটি নতুন ইনস্টল করা ভাল ধারণা হতে পারে, উবুন্টুর পুরানো সংস্করণগুলিতে আশা করা ছাড়া যে কোনওভাবে কেবল আমার দুটি সেন্টের চেয়ে বেশি নিরাপদ আপনার সুরক্ষিত
nwgat

2
@sarnold openssl.org একটি র্যান্ডম জায়গা OpenSSL জন্য উৎস ডাউনলোড করতে ভালো বলে মনে হচ্ছে না। ক্যানোনিকাল এটিকে অপ্রয়োজনীয় করা উচিত, তবে ওপেনস্ল.আর.আর্গ.ই থেকে কাজ করার জন্য অনুমোদনযোগ্য আপস্ট্রিম হওয়া উচিত
রুস্তাভোর

12

যারা সার্ভারওয়াইড প্যাকেজ আপগ্রেড করতে চান না তাদের জন্য। আমি আজ এই গাইডগুলির একটি গুচ্ছটি পড়েছি এবং apt-get upgrade openssl=== apt-get upgradeএটি আপনার মেশিনের জন্য প্রয়োজনীয় সমস্ত সুরক্ষা স্থিতি প্রয়োগ করবে। অপূর্ব, যদি না আপনি স্পষ্টভাবে কোথাও একটি পুরানো প্যাকেজ সংস্করণে ঝুঁকছেন।

এটি অ্যাবাচি 2 চালিত উবুন্টু 12.04 এলটিএসে ন্যূনতম পদক্ষেপের প্রয়োজন:

  • এই ঠিকানায় যান এবং প্রমাণ করুন যে আপনার দুর্বলতা রয়েছে। আপনার ওয়েব সার্ভারের সরাসরি বহিরাগত ঠিকানা ব্যবহার করা উচিত। আপনি যদি কোনও লোডবালেন্সার ব্যবহার করেন (উদাহরণস্বরূপ ELB) আপনি সরাসরি আপনার ওয়েব সার্ভারের সাথে যোগাযোগ করছেন না।

  • প্যাকেজগুলি আপগ্রেড করতে এবং পুনরায় চালু করতে নিম্নলিখিত 1 টি লাইনার চালান। হ্যাঁ আমি সমস্ত গাইডকে বলতে দেখেছি যে 4 এপ্রিল 2014 এর পরে আপনার একটি টাইমস্ট্যাম্প থাকা উচিত, এটি আমার কাছে মনে হয় না।

    অ্যাপেট-গেট আপডেট && ওপেনসেল লিবিএসএল ১.০.০ ইনস্টল করুন এবং & /etc/init.d/apache2 পুনঃসূচনা করুন

  • আপনার উপযুক্ত প্যাকেজ সংস্করণ ইনস্টল করা আছে তা নিশ্চিত করুন এবং আরও একবার দুর্বলতার জন্য আপনার ওয়েবসারভারটি পরীক্ষা করুন।

মূল প্যাকেজগুলি নীচে রয়েছে, আমি নীচের কমান্ডটি ব্যবহার করে এই তথ্যটি নির্ধারণ করেছি তারপরে ক্রুফটটি সম্পাদনা করেছিলাম (আমার মেশিনগুলির অবস্থা সম্পর্কে আপনার এতটা জানা দরকার নেই)।

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12দুর্বলতা থাকা উচিত নয়। নীচের ওয়েবসাইটে আবার গিয়ে এবং আপনার ওয়েব সার্ভারটি পরীক্ষা করে নিশ্চিত হয়ে নিন।

http://filippo.io/Heartbleed/


2
কোনও সার্ভারে দুর্বলতা প্রমাণ করতে কোনও বাহ্যিক সাইট ব্যবহার করা আমার কাছে ভুল ধারণা বলে মনে হচ্ছে।
রিঞ্জউইন্ড

বাহ্যিক দুর্বলতার পরীক্ষার স্ক্রিপ্টগুলি আজকাল আরও বেশি সাধারণ হয়ে উঠছে। এটি ঠিক কোনও অভ্যন্তরীণ স্ক্রিপ্ট যা করে তা করে, সংযোগটি কেবলমাত্র একটি বাহ্যিক ওয়েবসার থেকে শুরু করা হয়েছিল। দূরবর্তী অবস্থান থেকে সমস্ত সংযোগ আরম্ভ করে এমন কোনও প্রোগ্রামের উদাহরণের জন্য আপনি হোয়াইটহ্যাটসিকিউরিটি ডটকমের মতো সাইটগুলিতে সন্ধান করতে পারেন। এমন উদাহরণ রয়েছে যেখানে এটি উড়ে যায় না, উদাহরণস্বরূপ নেটওয়ার্ক দুর্বলতা পরীক্ষা করা তবে ফরোয়ার্ড ফেসিং ওয়েবসারভার পরীক্ষা করার জন্য (যা সাধারণভাবে কোনও এসএসএল সার্ভার হবে) এটি প্রায় আদর্শ।
অ্যাড্রিয়ান

প্যাকেজটি আপগ্রেড করা হচ্ছে কেন ইনস্টল করবেন?
ব্রায়াম

1
apt-get install openssl libssl1.0.0এটা আমার জন্য। চলমান openssl version -aএখন দেখায়:built on: Mon Apr 7 20:33:29 UTC 2014
শীর্ষ

"বাহ্যিক দুর্বলতার পরীক্ষার স্ক্রিপ্টগুলি এই দিনগুলিতে আরও সাধারণ হয়ে উঠছে that" এটি সেই বাহ্যিক সাইটটি আমার সিস্টেমে অপব্যবহারের সম্ভাবনাটি উন্মুক্ত করে: আমার সিস্টেমটি প্যাচ করার আগে তাদের ব্যর্থ হওয়া এবং হ্যাক করার দরকার all না এটি সঠিক উপায় নয়। (এবং হ্যাঁ আমি অ্যাপাচি এবং ওপেনসেল দিয়ে আমার নিজস্ব সাইটগুলি হোস্ট করি)।
রিঞ্জউইন্ড

11

আমি এখানে অনেক কমেন্টারকে লক্ষ্য করেছি যার জরুরি সহায়তা প্রয়োজন। পরীক্ষার কয়েকটি ওয়েবসাইট ব্যবহার করার সময় তারা নির্দেশাবলী, এবং আপগ্রেড, এবং রিবুট এবং অনুসরণ করছে vulne

আপনার কাছে libssl এর মতো প্যাকেজ নেই তা নিশ্চিত করার জন্য আপনাকে অবশ্যই পরীক্ষা করতে হবে check

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

সেগুলি আপগ্রেড করতে apt-mark unhold libssl1.0.0(উদাহরণস্বরূপ)। তারপর আপগ্রেড করুন: apt-get upgrade -V। তারপরে, প্রভাবিত পরিষেবাদি পুনরায় চালু করুন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.