কেন অবরুদ্ধ-আপগ্রেডগুলি হৃদয়যুক্ত বাগটি ঠিক করে না?

আমি আমার সার্ভারে স্বয়ংক্রিয় সুরক্ষা আপডেটগুলি ইনস্টল করার জন্য অপ্রয়োজনীয়-আপগ্রেডগুলি ইনস্টল করার নির্দেশ অনুসরণ করেছি (উবুন্টু সার্ভার 13.10)।

https://help.ubuntu.com/community/AutomaticSecurityUpdates

আপনি কি আমাকে বুঝতে সাহায্য করতে পারেন যে কেন আজ সকালে আমার সার্ভারে আমার হৃদয়যুক্ত বাগ আছে?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

অন্যান্য তথ্য:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

ধন্যবাদ

আপনার সার্ভারে হার্টবেল্ড দুর্বলতা নেই, ওপেনএসএসএল এই সমস্যাটি সমাধান করার জন্য প্যাচ করা হয়েছে (এটিকে আপগ্রেড না করে)।

আপনি ওপেনএসএসএল সংস্করণ আউটপুটে বেশ কয়েকটি গুরুত্বপূর্ণ রেখা রেখে গেছেন, আপনি কীভাবে জানবেন যে এটি প্যাচ করা হয়েছে, সংস্করণ নম্বর সহ নয়:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'বিল্ড অন' লাইনটি এখানে গুরুত্বপূর্ণ, এপ্রিল বা তার পরে: আপনি ভাল you're অন্যথায়: আপনি সমস্যায় পড়েছেন।

আপডেট করুন, যেহেতু বিল্ডের তারিখটি ভাল বলে মনে হচ্ছে না:

হয়তো অবিরত আপগ্রেড এখনও চালিত হয়নি, আমার সার্ভারে ক্রোন.ডাইলে স্ক্রিপ্টগুলি 6:25 এ চালানোর জন্য কনফিগার করা হয়েছে

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

এছাড়াও, /etc/apt/apt.conf.d-10periodic এর সামগ্রীগুলি পরীক্ষা করে দেখুন এবং সুরক্ষা আপডেটগুলি ইনস্টল করা আছে কিনা তা পরীক্ষা করুন:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

সূত্র: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

প্রথমত, আপনাকে আপগ্রেড করতে হবে। অনুপস্থিত-আপগ্রেডগুলি কেবল দিনে একবার চালিত হয় এবং ফিক্সটি আসার পরে এটি 1 দিনেরও কম হয়ে গেছে (2014-04-07 প্রায় 20:00 GMT)। libssl1.0.0সসির জন্য, নিশ্চিত হয়ে নিন যে আপনি 1.0.1e-3ubuntu1.2 বা আরও বেশি সংস্করণে আপগ্রেড করেছেন । (সুনির্দিষ্টভাবে, ফিক্সটি 1.0.1-4ubuntu5.12 সংস্করণে এসেছিল))

পরবর্তী, নোট করুন যে এটি খুব খারাপ দুর্বলতা: এটি আক্রমণকারীদের আপনার দুর্বল সার্ভারের সাথে সংযুক্ত করে গোপনীয় তথ্য অর্জনের অনুমতি দিয়েছে। যদি আপনি কোনও এসএসএল সার্ভার চালাচ্ছেন, তবে দুর্বলতা ঘোষণার একটু আগে সার্ভারের স্মৃতিতে থাকা যে কোনও ডেটা ফাঁস হয়ে গেছে। এটিতে বিশেষত সার্ভারের এসএসএল প্রাইভেট কীটি অন্তর্ভুক্ত রয়েছে, সুতরাং আপনার একটি নতুন তৈরি করা উচিত এবং পুরানোটিকে প্রত্যাহার করা উচিত।

আরও তথ্যের জন্য, ওপেনএসএসএল-এ হার্টলেবল বাগ (সিভিই -2014-0160) কীভাবে প্যাচ করবেন দেখুন ?

আপনি অভ্যন্তরীণ সংস্করণ স্ট্রিংগুলিতে বিশ্বাস রাখতে পারবেন না। সংস্করণটি বলে 1.0.1eএবং বাগটি 1.0.0f থেকে 1.0.0f এর মাধ্যমে প্রভাব ফেলে। আপনার কাছে এখনও ওপেনসেলের একটি দুর্বল সংস্করণ রয়েছে কিনা তা নির্ধারণ করার জন্য এটি কি যথেষ্ট? না। ওপেনএসএসএল অভ্যন্তরীণ সংস্করণ পরিবর্তন হয় না, এমনকি গর্তে কিছু আপডেট প্রয়োগ করা হয়। আপনার সংস্করণটি নির্ভরযোগ্যভাবে সনাক্ত করার একমাত্র উপায় হ'ল প্যাকেজ ম্যানেজার সংস্করণ apt-cache policyবা অন্য সরঞ্জাম ব্যবহার করে :

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

যেমন আপনি দেখতে পাচ্ছেন, আমার ওপেনসেলের সংস্করণটি উন্নত, এর মাধ্যমে এটি প্রভাবিত বলে মনে হচ্ছে, যেহেতু এটি এখন ১.০.১f, আমি যদি এখন পরিবর্তনগুলি পরীক্ষা করি:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

হ্যাঁ, আমি এখনও আক্রান্ত। চেঞ্জলগে যাই হোক না কেন CVE-2014-0160 এর কোনও উল্লেখ নেই। তবে, আমি কোনও এসএসএল / টিএসএল পরিষেবা চালাচ্ছি না, তাই আমি অপেক্ষা করতে পারি। আমাকে কেবল ওপেনএসএসএলের এই সংস্করণটি ব্যবহার করে এসএসএল শংসাপত্র তৈরি করতে হবে না। যদি আমি এটি করি তবে আমাকে গিলসের পরামর্শ অনুসরণ করতে হবে: পরিষেবাগুলি নামিয়ে দিন, শংসাপত্রটি প্রত্যাহার করুন, নতুন তৈরি করুন।