ওপেনএসএসএলে হার্টবেলড বাগ (সিভিই -2014-0160) কীভাবে প্যাচ করবেন?

আজ অবধি, ওপেনএসএসএল- তে একটি বাগ পাওয়া গেছে (অন্তর্ভুক্ত) এবং এর 1.0.1মাধ্যমে সংস্করণগুলিকে প্রভাবিত করে ।1.0.1f1.0.2-beta

উবুন্টু 12.04 সাল থেকে, আমরা সকলেই এই বাগের জন্য ঝুঁকির মধ্যে আছি। এই দুর্বলতাটিকে প্যাচ করার জন্য, প্রভাবিত ব্যবহারকারীদের ওপেনএসএসএল আপডেট করা উচিত 1.0.1g।

প্রতিটি আক্রান্ত ব্যবহারকারী এখন এই আপডেটটি কীভাবে প্রয়োগ করতে পারেন ?

নিরাপত্তা সংক্রান্ত আপডেট 12.04 জন্য উপলব্ধ, 12.10, 13.10 এবং 14.04 দেখতে উবুন্টু সিকিউরিটি নোটিশ USN-2165-1 ।

সুতরাং প্রথমে আপনাকে উপলব্ধ সুরক্ষা আপডেটগুলি প্রয়োগ করতে হবে, উদাহরণস্বরূপ চালানো running

sudo apt-get update
sudo apt-get upgrade

কমান্ড লাইন থেকে।

ক্ষতিগ্রস্ত ওপেনএসএসএল সংস্করণ ব্যবহার করে এমন পরিষেবাগুলি (এইচটিটিপি, এসএমটিপি ইত্যাদি) পুনরায় চালু করতে ভুলবেন না তবে অন্যথায় আপনি এখনও ঝুঁকির মধ্যে আছেন। হৃদয়গ্রাহীও দেখুন : এটি কী এবং এটিকে প্রশমিত করার বিকল্পগুলি কী কী? সার্ভারফল্ট.কম এ।

নিম্নলিখিত কমান্ডটি সমস্ত পরিষেবাদি (আপগ্রেডের পরে) দেখায় যা পুনরায় আরম্ভ করা দরকার:

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

এর পরে, আপনাকে সমস্ত সার্ভার এসএসএল কীগুলি পুনরায় জেনারেট করতে হবে , তারপরে আপনার কীগুলি ফাঁস হয়েছে কিনা তা মূল্যায়ন করুন, সেক্ষেত্রে আক্রমণকারীরা আপনার সার্ভারগুলি থেকে গোপনীয় তথ্য পুনরুদ্ধার করতে পারে।

বাগটি হার্টবেল্ড নামে পরিচিত ।

আমি কি দুর্বল?

সাধারণত, আপনি যদি এমন কোনও সার্ভার চালনা করেন যা আপনি কোনও সময়ে কোনও এসএসএল কী তৈরি করেছেন you're বেশিরভাগ শেষ ব্যবহারকারীরা (সরাসরি) প্রভাবিত হয় না; কমপক্ষে ফায়ারফক্স এবং ক্রোম ওপেনএসএসএল ব্যবহার করে না। এসএসএইচ প্রভাবিত হয় না। উবুন্টু প্যাকেজগুলির বিতরণ প্রভাবিত হয় না (এটি জিপিজি স্বাক্ষরগুলির উপর নির্ভর করে)।

আপনি যদি এমন কোনও সার্ভার চালনা করেন যা ওপেনএসএসএল সংস্করণগুলি 1.0–1.0.1f ব্যবহার করে (বাগ আবিষ্কার হওয়ার পর থেকে প্যাচ করা কোর্স সংস্করণগুলি বাদে)। প্রভাবিত উবুন্টু সংস্করণগুলি 14.04 বিশ্বাসযোগ্য প্রাক রিলিজের মাধ্যমে 11.10 একরিক। এটি একটি বাস্তবায়ন বাগ, প্রোটোকলের কোনও ত্রুটি নয়, সুতরাং কেবলমাত্র ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন প্রোগ্রামগুলি প্রভাবিত হয়। আপনার যদি ওপেনএসএসএল এর পুরানো 0.9.x সংস্করণের বিপরীতে কোনও প্রোগ্রাম লিঙ্ক করা থাকে তবে এটি প্রভাবিত হয় না। শুধুমাত্র এসএসএল প্রোটোকল প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয়; অন্যান্য জিনিসগুলির জন্য ওপেনএসএসএল ব্যবহার করা প্রোগ্রামগুলি প্রভাবিত হয় না।

আপনি যদি ইন্টারনেটের সংস্পর্শে থাকা কোনও দুর্বল সার্ভার চালিয়ে যান তবে 2014-04-07-এ ঘোষণার পর থেকে আপনার লগগুলি কোনও সংযোগ না দেখানো পর্যন্ত এটিকে আপোস করুন। (এটি অনুমান করে যে এটির ঘোষণার আগে দুর্বলতা কাজে লাগানো হয়নি)) যদি আপনার সার্ভারটি কেবল অভ্যন্তরীণভাবেই প্রকাশিত হয় তবে কীগুলি পরিবর্তন করার দরকার আছে কিনা তা অন্যান্য সুরক্ষা ব্যবস্থাগুলি কী রয়েছে তার উপর নির্ভর করবে।

এর প্রভাব কী?

বাগটি কোনও ক্লায়েন্টকে যারা আপনার এসএসএল সার্ভারের সাথে সংযোগ করতে পারে সেটিকে সার্ভার থেকে প্রায় k৪ কেবি মেমরি পুনরুদ্ধার করতে দেয়। ক্লায়েন্টকে কোনওভাবেই প্রমাণীকরণের দরকার নেই। আক্রমণ পুনরাবৃত্তি করে, ক্লায়েন্ট ক্রমাগত প্রয়াসে মেমরির বিভিন্ন অংশ ডাম্প করতে পারে।

আক্রমণকারী পুনরুদ্ধার করতে সক্ষম হতে পারে এমন একটি সমালোচনামূলক অংশ হ'ল সার্ভারের এসএসএল ব্যক্তিগত কী। এই ডেটা দিয়ে আক্রমণকারী আপনার সার্ভারটি ছদ্মবেশ তৈরি করতে পারে।

আমি কীভাবে একটি সার্ভারে পুনরুদ্ধার করব?

1. সমস্ত প্রভাবিত সার্ভারগুলি অফলাইনে নিন। যতক্ষণ তারা চলছে, ততক্ষণ তারা সম্ভাব্য সমালোচনামূলক ডেটা ফাঁস করছে।

2. libssl1.0.0প্যাকেজ আপগ্রেড করুন এবং নিশ্চিত হয়ে নিন যে সমস্ত আক্রান্ত সার্ভার পুনরায় চালু হয়েছে।
   প্রভাবিত প্রক্রিয়াগুলি এখনও `p গ্রেপ 'লিবিএসএল দিয়ে চলছে কিনা তা আপনি পরীক্ষা করতে পারেন। (মুছে ফেলা) '/ proc / / মানচিত্র ' `

3. নতুন কী তৈরি করুন । এটি প্রয়োজনীয় কারণ বাগটি কোনও আক্রমণকারীকে পুরানো ব্যক্তিগত কীটি পাওয়ার অনুমতি দেয়। আপনি প্রথমে একই পদ্ধতি ব্যবহার করেন।

   • আপনি যদি কোনও শংসাপত্র কর্তৃপক্ষের স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে আপনার নতুন পাবলিক কীগুলি আপনার সিএতে জমা দিন। আপনি যখন নতুন শংসাপত্র পাবেন, এটি আপনার সার্ভারে ইনস্টল করুন।
   • যদি আপনি স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে এটি আপনার সার্ভারে ইনস্টল করুন।
   • যে কোনও উপায়ে, পুরানো কীগুলি এবং শংসাপত্রগুলি বাইরে সরিয়ে দিন (তবে এগুলি মুছবেন না, কেবল তারা নিশ্চিত হন যে তারা আর ব্যবহার হচ্ছে না)।

4. এখন আপনার কাছে নতুন আপসহীন কী রয়েছে তাই আপনি আপনার সার্ভারটি অনলাইনে ফিরিয়ে আনতে পারেন ।

5. পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।

6. ক্ষতির মূল্যায়ন : এসএসএল সংযোগগুলি সরবরাহ করার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা সম্ভাব্যভাবে ফাঁস হয়ে গেছে। এর মধ্যে ব্যবহারকারীর পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে। আপনার এই ডেটাটি কী হতে পারে তা মূল্যায়ন করতে হবে।

   • আপনি যদি এমন কোনও পরিষেবা চালাচ্ছেন যা পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয়, তবে দুর্বলতার কথা ঘোষণার আগে যে সমস্ত ব্যবহারকারীরা সংযুক্ত ছিলেন তাদের পাসওয়ার্ডগুলি আপোস হিসাবে বিবেচনা করা উচিত। (একটু আগে, কারণ পাসওয়ার্ডটি কিছুক্ষণের জন্য স্মৃতিতে অব্যবহৃত থাকতে পারে)) আপনার লগগুলি পরীক্ষা করুন এবং কোনও আক্রান্ত ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করুন।
   • সমস্ত সেশন কুকিজ অকার্যকর করুন, কারণ সেগুলি আপস করা হতে পারে।
   • ক্লায়েন্টের শংসাপত্রগুলি আপোস করা হয় না।
   • দুর্বলতার একটু আগে থেকেই যে কোনও ডেটা এক্সচেঞ্জ করা হয়েছিল সেটি সার্ভারের স্মৃতিতে থাকতে পারে এবং তাই আক্রমণকারীটির কাছে ফাঁস হয়ে গেছে।
   • যদি কেউ একটি পুরানো এসএসএল সংযোগ রেকর্ড করে থাকে এবং আপনার সার্ভারের কীগুলি পুনরুদ্ধার করে, তারা এখন তাদের ট্রান্সক্রিপ্টটি ডিক্রিপ্ট করতে পারে। (যদি পিএফএস নিশ্চিত না করা হয় - যদি আপনি না জানেন তবে এটি ছিল না))

আমি কিভাবে একটি ক্লায়েন্ট পুনরুদ্ধার করতে পারি?

কেবলমাত্র কয়েকটি পরিস্থিতি রয়েছে যেখানে ক্লায়েন্টের অ্যাপ্লিকেশনগুলি প্রভাবিত হয়। সার্ভারের পাশের সমস্যাটি হ'ল যে কেউ একটি সার্ভারের সাথে সংযোগ করতে এবং বাগটি কাজে লাগাতে পারে। কোনও ক্লায়েন্টকে শোষণ করার জন্য, তিনটি শর্ত অবশ্যই পূরণ করতে হবে:

• ক্লায়েন্ট প্রোগ্রামটি এসএসএল প্রোটোকলটি প্রয়োগ করতে একটি বগি সংস্করণ ওপেনএসএসএল লাইব্রেরি ব্যবহার করেছে।
• ক্লায়েন্টটি দূষিত সার্ভারের সাথে সংযুক্ত। (সুতরাং উদাহরণস্বরূপ, আপনি যদি কোনও ইমেল সরবরাহকারীর সাথে সংযুক্ত থাকেন তবে এটি উদ্বেগের বিষয় নয়)) সার্ভারের মালিক দুর্বলতার বিষয়ে সচেতন হওয়ার পরে সম্ভবত এটি করা হয়েছিল 2014-04-07 পরে pres
• ক্লায়েন্ট প্রক্রিয়াটির মেমোরিতে গোপনীয় ডেটা ছিল যা সার্ভারের সাথে ভাগ করা হয়নি। (সুতরাং আপনি যদি কেবল wgetকোনও ফাইল ডাউনলোড করতে দৌড়েন তবে ফাঁস হওয়ার কোনও ডেটা ছিল না))

আপনি যদি 2014-04-07 সন্ধ্যায় ইউটিসি এবং আপনার ওপেনএসএসএল লাইব্রেরিটি আপগ্রেড করার মধ্যে করেন তবে ক্লায়েন্ট প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা আপস করার জন্য বিবেচনা করুন।

তথ্যসূত্র

• হার্টবেল্ড বাগ (দুটি দলের মধ্যে একজন যিনি স্বতন্ত্রভাবে বাগটি আবিষ্কার করেছিলেন)
• কীভাবে ওপেনএসএসএল টিএলএস হার্টবিট (হার্টবেল্ড) কাজটি শোষণ করে?
• হার্টলেড মানে কি প্রতিটি এসএসএল সার্ভারের জন্য নতুন শংসাপত্র রয়েছে?
• হৃদয়যুক্ত: এটি কী এবং এটিকে প্রশমিত করার বিকল্পগুলি কী কী?

উবুন্টু রানটিতে কোন ওপেনএসএসএল সংস্করণ ইনস্টল করা আছে তা দেখতে:

dpkg -l | grep openssl

আপনি যদি নিম্নলিখিত সংস্করণ আউটপুটটি দেখতে পান, সিভিই -2014-0160 এর জন্য প্যাচ অন্তর্ভুক্ত করা উচিত।

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

Https://launchpad.net/ubuntu/+s Source/openssl/1.0.1-4ubuntu5.12 এ দেখলে এটি দেখায় যে কোন ধরণের বাগগুলি স্থির করা হয়েছে:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

যদি আপনার অ্যাপ্ট -গেট সংগ্রহস্থলগুলিতে কোনও প্রাক্পম্পাইল্ড 1.0.1g ওপেনএসএসএল সংস্করণ না থাকে , তাই কেবল অফিসিয়াল ওয়েবসাইট থেকে উত্সগুলি ডাউনলোড করুন এবং এটি সংকলন করুন।

সর্বশেষ ওপেনএসএল সংস্করণ সংকলন এবং ইনস্টল করতে একক কমান্ড লাইনের নীচে।

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

পুরানো ওপেনসেল বাইনারি ফাইলটি নতুন একটি দ্বারা একটি সিমলিংকের মাধ্যমে প্রতিস্থাপন করুন।

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

আপনারা সবাই ভাল আছেন!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

সিএফ এই ব্লগ পোস্ট ।

এনবি: ব্লগ পোস্টে যেমন বলা হয়েছে, এই কর্মসূচিটি "এনগিনেক্স এবং অ্যাপাচি সার্ভারকে ঠিক করবে না, যাদের 1.0.1 জি ওপেনএসএসএল উত্স দিয়ে পুনরায় সংযোগ করতে হবে।"

যারা সার্ভারওয়াইড প্যাকেজ আপগ্রেড করতে চান না তাদের জন্য। আমি আজ এই গাইডগুলির একটি গুচ্ছটি পড়েছি এবং apt-get upgrade openssl=== apt-get upgradeএটি আপনার মেশিনের জন্য প্রয়োজনীয় সমস্ত সুরক্ষা স্থিতি প্রয়োগ করবে। অপূর্ব, যদি না আপনি স্পষ্টভাবে কোথাও একটি পুরানো প্যাকেজ সংস্করণে ঝুঁকছেন।

এটি অ্যাবাচি 2 চালিত উবুন্টু 12.04 এলটিএসে ন্যূনতম পদক্ষেপের প্রয়োজন:

• এই ঠিকানায় যান এবং প্রমাণ করুন যে আপনার দুর্বলতা রয়েছে। আপনার ওয়েব সার্ভারের সরাসরি বহিরাগত ঠিকানা ব্যবহার করা উচিত। আপনি যদি কোনও লোডবালেন্সার ব্যবহার করেন (উদাহরণস্বরূপ ELB) আপনি সরাসরি আপনার ওয়েব সার্ভারের সাথে যোগাযোগ করছেন না।

• প্যাকেজগুলি আপগ্রেড করতে এবং পুনরায় চালু করতে নিম্নলিখিত 1 টি লাইনার চালান। হ্যাঁ আমি সমস্ত গাইডকে বলতে দেখেছি যে 4 এপ্রিল 2014 এর পরে আপনার একটি টাইমস্ট্যাম্প থাকা উচিত, এটি আমার কাছে মনে হয় না।

  অ্যাপেট-গেট আপডেট && ওপেনসেল লিবিএসএল ১.০.০ ইনস্টল করুন এবং & /etc/init.d/apache2 পুনঃসূচনা করুন

• আপনার উপযুক্ত প্যাকেজ সংস্করণ ইনস্টল করা আছে তা নিশ্চিত করুন এবং আরও একবার দুর্বলতার জন্য আপনার ওয়েবসারভারটি পরীক্ষা করুন।

মূল প্যাকেজগুলি নীচে রয়েছে, আমি নীচের কমান্ডটি ব্যবহার করে এই তথ্যটি নির্ধারণ করেছি তারপরে ক্রুফটটি সম্পাদনা করেছিলাম (আমার মেশিনগুলির অবস্থা সম্পর্কে আপনার এতটা জানা দরকার নেই)।

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12দুর্বলতা থাকা উচিত নয়। নীচের ওয়েবসাইটে আবার গিয়ে এবং আপনার ওয়েব সার্ভারটি পরীক্ষা করে নিশ্চিত হয়ে নিন।

http://filippo.io/Heartbleed/

আমি এখানে অনেক কমেন্টারকে লক্ষ্য করেছি যার জরুরি সহায়তা প্রয়োজন। পরীক্ষার কয়েকটি ওয়েবসাইট ব্যবহার করার সময় তারা নির্দেশাবলী, এবং আপগ্রেড, এবং রিবুট এবং অনুসরণ করছে vulne

আপনার কাছে libssl এর মতো প্যাকেজ নেই তা নিশ্চিত করার জন্য আপনাকে অবশ্যই পরীক্ষা করতে হবে check

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

সেগুলি আপগ্রেড করতে apt-mark unhold libssl1.0.0(উদাহরণস্বরূপ)। তারপর আপগ্রেড করুন: apt-get upgrade -V। তারপরে, প্রভাবিত পরিষেবাদি পুনরায় চালু করুন।