কেন অবরুদ্ধ-আপগ্রেডগুলি হৃদয়যুক্ত বাগটি ঠিক করে না?


20

আমি আমার সার্ভারে স্বয়ংক্রিয় সুরক্ষা আপডেটগুলি ইনস্টল করার জন্য অপ্রয়োজনীয়-আপগ্রেডগুলি ইনস্টল করার নির্দেশ অনুসরণ করেছি (উবুন্টু সার্ভার 13.10)।

https://help.ubuntu.com/community/AutomaticSecurityUpdates

আপনি কি আমাকে বুঝতে সাহায্য করতে পারেন যে কেন আজ সকালে আমার সার্ভারে আমার হৃদয়যুক্ত বাগ আছে?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

অন্যান্য তথ্য:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

ধন্যবাদ


2
আপনার প্রশ্নের উত্তর দিচ্ছেন না, তবে আপনার ওএসকে জিজ্ঞাসা করুন
রিং Ø

আমি একমত যে আপনার একটি আপডেট সংস্করণ থাকা উচিত। আমার 12.04 সার্ভারটি স্বয়ংক্রিয় আপডেটে রয়েছে এবং গতকাল আপডেট হয়েছিল। আপনি পরীক্ষা করেছেন /var/log/apt/history.log?
জোস

@ জোস আমার কাছে আমার /var/log/apt/history.log এর বিষয়বস্তু ছিল, এখানে আর কোনও তথ্য নেই
গিলিয়াম ভিনসেন্ট

উত্তর:


28

আপনার সার্ভারে হার্টবেল্ড দুর্বলতা নেই, ওপেনএসএসএল এই সমস্যাটি সমাধান করার জন্য প্যাচ করা হয়েছে (এটিকে আপগ্রেড না করে)।

আপনি ওপেনএসএসএল সংস্করণ আউটপুটে বেশ কয়েকটি গুরুত্বপূর্ণ রেখা রেখে গেছেন, আপনি কীভাবে জানবেন যে এটি প্যাচ করা হয়েছে, সংস্করণ নম্বর সহ নয়:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'বিল্ড অন' লাইনটি এখানে গুরুত্বপূর্ণ, এপ্রিল বা তার পরে: আপনি ভাল you're অন্যথায়: আপনি সমস্যায় পড়েছেন।

আপডেট করুন, যেহেতু বিল্ডের তারিখটি ভাল বলে মনে হচ্ছে না:

হয়তো অবিরত আপগ্রেড এখনও চালিত হয়নি, আমার সার্ভারে ক্রোন.ডাইলে স্ক্রিপ্টগুলি 6:25 এ চালানোর জন্য কনফিগার করা হয়েছে

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

এছাড়াও, /etc/apt/apt.conf.d-10periodic এর সামগ্রীগুলি পরীক্ষা করে দেখুন এবং সুরক্ষা আপডেটগুলি ইনস্টল করা আছে কিনা তা পরীক্ষা করুন:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

সূত্র: https://help.ubuntu.com/lts/serverguide/automatic-updates.html


1
আমি সমস্যায় আছি :(built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
গিলিয়াম ভিনসেন্ট

শুধু চালান sudo apt-get update && sudo apt-get dist-upgradeএবং আপনার আপ-টু-ডেট হওয়া উচিত।
এড্ড টার্টল

আপনাকে ধন্যবাদ @ এডটার্টল্ট, এটি আমার প্রশ্ন নয়! আমার প্রশ্ন কেন স্বয়ংক্রিয় আপডেট কাজ করে না!
গিলিয়াম ভিনসেন্ট

আমার /etc/apt/apt.conf.d / 1010 সময়কালের সময় ভাল ছিল না বা সম্ভবত 5 টায় ক্রোন কোনও আপগ্রেড খুঁজে পায় নি। আপনাকে ধন্যবাদ @ ম্যাথিউ-কোমন্ডন
গিলিয়াম ভিনসেন্ট

@ গুইলাউমভেঞ্জান্ট আমি কেবল লক্ষ্য করেছি যে আপনার ইনস্টল করা সর্বশেষ প্যাকেজটি অনাহীন-আপগ্রেডগুলি ছিল - সুতরাং এটি কনফিগারেশনের সমস্যা হতে পারে।
জোস

12

প্রথমত, আপনাকে আপগ্রেড করতে হবে। অনুপস্থিত-আপগ্রেডগুলি কেবল দিনে একবার চালিত হয় এবং ফিক্সটি আসার পরে এটি 1 দিনেরও কম হয়ে গেছে (2014-04-07 প্রায় 20:00 GMT)। libssl1.0.0সসির জন্য, নিশ্চিত হয়ে নিন যে আপনি 1.0.1e-3ubuntu1.2 বা আরও বেশি সংস্করণে আপগ্রেড করেছেন । (সুনির্দিষ্টভাবে, ফিক্সটি 1.0.1-4ubuntu5.12 সংস্করণে এসেছিল))

পরবর্তী, নোট করুন যে এটি খুব খারাপ দুর্বলতা: এটি আক্রমণকারীদের আপনার দুর্বল সার্ভারের সাথে সংযুক্ত করে গোপনীয় তথ্য অর্জনের অনুমতি দিয়েছে। যদি আপনি কোনও এসএসএল সার্ভার চালাচ্ছেন, তবে দুর্বলতা ঘোষণার একটু আগে সার্ভারের স্মৃতিতে থাকা যে কোনও ডেটা ফাঁস হয়ে গেছে। এটিতে বিশেষত সার্ভারের এসএসএল প্রাইভেট কীটি অন্তর্ভুক্ত রয়েছে, সুতরাং আপনার একটি নতুন তৈরি করা উচিত এবং পুরানোটিকে প্রত্যাহার করা উচিত।

আরও তথ্যের জন্য, ওপেনএসএসএল-এ হার্টলেবল বাগ (সিভিই -2014-0160) কীভাবে প্যাচ করবেন দেখুন ?


প্রায় দু'বছর ধরে সার্ভার মেমরির যে কোনও কিছু ফাঁস হতে পারে, কেবলমাত্র ঘোষণার সময় থেকে নয়।
পাইওরসি

@ পাইরিক্সি যে কোনও কিছু যা সার্ভারের স্মৃতিতে দীর্ঘকাল ধরে রয়েছে সেগুলি মুছে ফেলার সম্ভাবনা খুব বেশি সম্ভবত এই যে আপনি অন্যান্য অনেক আক্রমণকারী ভেক্টর সম্পর্কেও উদ্বিগ্ন হওয়া উচিত। ব্যতিক্রমটি হ'ল যদি আপনি বিরোধীদের সম্পর্কে উদ্বিগ্ন থাকেন যারা সম্ভবত এই বাগটি সম্পর্কে জেনে থাকতে পারেন এবং এটি চুপচাপ ব্যবহার করেছিলেন - সরকার-স্তরের বিরোধীরা হয়ত জানতেন, সাধারণ কুটিল লোকদের পক্ষে এটি সম্ভবত কমই।
গিলস 'দুষ্ট হওয়া বন্ধ করুন'

7

আপনি অভ্যন্তরীণ সংস্করণ স্ট্রিংগুলিতে বিশ্বাস রাখতে পারবেন না। সংস্করণটি বলে 1.0.1eএবং বাগটি 1.0.0f থেকে 1.0.0f এর মাধ্যমে প্রভাব ফেলে। আপনার কাছে এখনও ওপেনসেলের একটি দুর্বল সংস্করণ রয়েছে কিনা তা নির্ধারণ করার জন্য এটি কি যথেষ্ট? না। ওপেনএসএসএল অভ্যন্তরীণ সংস্করণ পরিবর্তন হয় না, এমনকি গর্তে কিছু আপডেট প্রয়োগ করা হয়। আপনার সংস্করণটি নির্ভরযোগ্যভাবে সনাক্ত করার একমাত্র উপায় হ'ল প্যাকেজ ম্যানেজার সংস্করণ apt-cache policyবা অন্য সরঞ্জাম ব্যবহার করে :

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

যেমন আপনি দেখতে পাচ্ছেন, আমার ওপেনসেলের সংস্করণটি উন্নত, এর মাধ্যমে এটি প্রভাবিত বলে মনে হচ্ছে, যেহেতু এটি এখন ১.০.১f, আমি যদি এখন পরিবর্তনগুলি পরীক্ষা করি:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

হ্যাঁ, আমি এখনও আক্রান্ত। চেঞ্জলগে যাই হোক না কেন CVE-2014-0160 এর কোনও উল্লেখ নেই। তবে, আমি কোনও এসএসএল / টিএসএল পরিষেবা চালাচ্ছি না, তাই আমি অপেক্ষা করতে পারি। আমাকে কেবল ওপেনএসএসএলের এই সংস্করণটি ব্যবহার করে এসএসএল শংসাপত্র তৈরি করতে হবে না। যদি আমি এটি করি তবে আমাকে গিলসের পরামর্শ অনুসরণ করতে হবে: পরিষেবাগুলি নামিয়ে দিন, শংসাপত্রটি প্রত্যাহার করুন, নতুন তৈরি করুন।


দ্রষ্টব্য: "অ্যাপটি-ক্যাশে চেঞ্জলগ" আমার পক্ষে বৈধ আদেশ নয়, তবে "অ্যাপটিটিউড চেঞ্জলগ"।
কলিনম

1
@ কলিনম দুঃখিত, ভাল ছিলেন, অ্যাপটি-ক্যাশে ছিলেন না, ক্লিপবোর্ডের সমস্যা ছিল।
ব্রিয়াম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.