জন্য CVE-2014-0160 ওরফে হার্টব্লিড দ্বারা OpenSSL একটি দুর্বলতার হয়। এটা ভীতিজনক দেখাচ্ছে।
আমি প্রভাবিত কিনা তা আমি কীভাবে নির্ধারণ করব?
আমি যদি আক্রান্ত হই তবে আমার কী করা দরকার? আপাতদৃষ্টিতে আপগ্রেড করা যথেষ্ট নয়।
জন্য CVE-2014-0160 ওরফে হার্টব্লিড দ্বারা OpenSSL একটি দুর্বলতার হয়। এটা ভীতিজনক দেখাচ্ছে।
আমি প্রভাবিত কিনা তা আমি কীভাবে নির্ধারণ করব?
আমি যদি আক্রান্ত হই তবে আমার কী করা দরকার? আপাতদৃষ্টিতে আপগ্রেড করা যথেষ্ট নয়।
উত্তর:
এই দুর্বলতার উচ্চ সম্ভাব্য প্রভাব রয়েছে কারণ আপনার সিস্টেমে আক্রমণ করা থাকলে তা প্যাচিংয়ের পরেও অরক্ষিত থাকবে এবং আক্রমণগুলিতে লগগুলিতে কোনও চিহ্ন নাও থাকতে পারে। আপনি যদি দ্রুত প্যাচ করেন এবং আপনি একটি উচ্চ-প্রোফাইলের লক্ষ্য না হয়ে থাকেন তবে এমন সম্ভাবনা রয়েছে যে কেউ আপনাকে আক্রমণ করতে পারে নি তবে এটি নিশ্চিত হওয়া শক্ত।
বগি সফ্টওয়্যারটি ওপেনএসএসএল লাইব্রেরি 1.0.1f পর্যন্ত 1.0.1f এবং বিটা 1 পর্যন্ত ওপেনএসএসএল 1.0.2 রয়েছে। পুরানো সংস্করণ (0.9.x, 1.0.0) এবং সংস্করণগুলি যেখানে বাগটি স্থির করা হয়েছে (1.0.1g এর পরে, 1.0.2 বিটা 2 এর পরে) প্রভাবিত হয় না। এটি একটি বাস্তবায়ন বাগ, প্রোটোকলের কোনও ত্রুটি নয়, তাই কেবল ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন প্রোগ্রামগুলি প্রভাবিত হয়।
আপনি openssl version -a
ওপেনএসএসএল সংস্করণ নম্বরটি প্রদর্শন করতে কমান্ড লাইন সরঞ্জামটি ব্যবহার করতে পারেন । মনে রাখবেন যে কিছু বিতরণ পূর্বের রিলিজগুলিতে বাগ ফিক্সকে পোর্ট করে; যদি আপনার প্যাকেজের পরিবর্তিত লগটিতে হার্টবেল্ড বাগ ফিক্সের কথা উল্লেখ করা হয় তবে তা ঠিক আছে, এমনকি আপনি যদি 1.0.1f এর মতো সংস্করণ দেখেন। যদি openssl version -a
সন্ধ্যা ইউটিসি বা তার পরের দিকে 2014-04-07 এর একটি বিল্ড ডেট (প্রথম লাইনে তারিখ নয়) উল্লেখ করা হয়, তবে আপনি ঠিকঠাক হওয়া উচিত। উল্লেখ্য দ্বারা OpenSSL প্যাকেজ থাকতে পারে 1.0.0
তার মধ্যে নাম যদিও সংস্করণ 1.0.1 আছে ( 1.0.0
বাইনারি সামঞ্জস্য বোঝায়)।
শোষণ একটি অ্যাপ্লিকেশনের মাধ্যমে করা হয় যা এসএসএল সংযোগগুলি প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করে । অনেক অ্যাপ্লিকেশন অন্যান্য ক্রিপ্টোগ্রাফিক পরিষেবাদির জন্য ওপেনএসএসএল ব্যবহার করে এবং এটি ঠিক আছে: বাগটি এসএসএল প্রোটোকলের একটি নির্দিষ্ট বৈশিষ্ট্য "হার্টবিট" এর প্রয়োগে রয়েছে।
আপনার সিস্টেমের লাইব্রেরির সাথে কোন প্রোগ্রামগুলি সংযুক্ত রয়েছে তা আপনি পরীক্ষা করতে চাইতে পারেন। Dpkg এবং apt (দেবিয়ান, উবুন্টু, পুদিনা,…) ব্যবহার করা সিস্টেমগুলিতে নিম্নলিখিত কমান্ডটি লাইব্রেরিগুলি libssl1.0.0
(প্রভাবিত প্যাকেজ) ব্যবহার করে ইনস্টল করা প্যাকেজগুলি তালিকাভুক্ত করে :
apt-cache rdepends libssl1.0.0 | tail -n +3 |
xargs dpkg -l 2>/dev/null | grep '^ii' | grep -v '^ii lib'
আপনি যদি এই তালিকায় থাকা কিছু সার্ভার সফ্টওয়্যার চালনা করেন এবং এসএসএল সংযোগ শোনেন, আপনি সম্ভবত প্রভাবিত। এটি ওয়েব সার্ভারগুলি, ইমেল সার্ভারগুলি, ভিপিএন সার্ভার ইত্যাদির বিষয়ে উদ্বেগ জানায় আপনি জানেন যে আপনি এসএসএলকে সক্ষম করেছেন কারণ আপনাকে কোনও শংসাপত্র তৈরি করতে হয়েছিল, কোনও শংসাপত্র কর্তৃপক্ষের কাছে শংসাপত্র স্বাক্ষরের অনুরোধ জমা দেওয়ার মাধ্যমে বা নিজের স্ব-স্বাক্ষর করে সনদপত্র. (এটি সম্ভবত সম্ভব যে কিছু ইনস্টলেশন পদ্ধতি আপনাকে লক্ষ্য না করে একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করেছে, তবে এটি সাধারণত কেবল অভ্যন্তরীণ সার্ভারগুলির জন্যই করা হয়, ইন্টারনেটের মুখোমুখি হওয়া সার্ভারগুলির জন্য নয়)) আপনি যদি ইন্টারনেটের সংস্পর্শে থাকা কোনও দুর্বল সার্ভারটি চালিয়ে যান তবে এটি আপোস করার বিষয়টি বিবেচনা করুন consider আপনার লগগুলি 2014-04-07 তারিখে ঘোষণার পর থেকে কোনও সংযোগ না দেখায়। (এটি ধরে নেয় যে দুর্বলতা তার ঘোষণার আগে কাজে লাগানো হয়নি।) যদি আপনার সার্ভারটি কেবল অভ্যন্তরীণভাবেই উন্মুক্ত হয়,
ক্লায়েন্ট সফ্টওয়্যার কেবল তখনই প্রভাবিত হয় যদি আপনি এটি কোনও দূষিত সার্ভারের সাথে সংযোগ করতে ব্যবহার করেন। সুতরাং যদি আপনি আইএমএপিএস ব্যবহার করে আপনার ইমেল সরবরাহকারীর সাথে সংযুক্ত থাকেন, তবে আপনাকে চিন্তার দরকার নেই (যদি সরবরাহকারী আক্রমণ না করা হয় - তবে যদি সে ক্ষেত্রে তারা আপনাকে জানায়) তবে আপনি যদি কোনও দুর্বল ব্রাউজারের সাহায্যে র্যান্ডম ওয়েবসাইটগুলি ব্রাউজ করেন তবে আপনার প্রয়োজন হতে পারে চিন্তা করতে. এখনও অবধি মনে হচ্ছে যে দুর্বলতাটি এটির আবিষ্কারের আগেই কাজে লাগানো হয়নি, তাই আপনি যদি কেবল 2014-04-08 সাল থেকে দূষিত সার্ভারগুলির সাথে সংযুক্ত থাকেন তবে আপনাকে কেবল উদ্বেগের প্রয়োজন।
নিম্নলিখিত প্রোগ্রামগুলি প্রভাবিত হয়নি কারণ তারা এসএসএল প্রয়োগের জন্য ওপেনএসএসএল ব্যবহার করে না:
বাগটি কোনও ক্লায়েন্টকে যারা আপনার এসএসএল সার্ভারের সাথে সংযোগ করতে পারে তা একবারে সার্ভার থেকে প্রায় 64৪ কেবি মেমরি পুনরুদ্ধার করতে দেয়। ক্লায়েন্টকে কোনওভাবেই প্রমাণীকরণের দরকার নেই। আক্রমণ পুনরাবৃত্তি করে, ক্লায়েন্ট ক্রমাগত প্রয়াসে মেমরির বিভিন্ন অংশ ডাম্প করতে পারে। এই সম্ভাব্য আক্রমণকারীটি কী, পাসওয়ার্ড, কুকিজ ইত্যাদি সহ সার্ভার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা পুনরুদ্ধার করতে দেয় pot
আক্রমণকারী পুনরুদ্ধার করতে সক্ষম হতে পারে এমন একটি সমালোচনামূলক অংশ হ'ল সার্ভারের এসএসএল ব্যক্তিগত কী। এই ডেটা দিয়ে আক্রমণকারী আপনার সার্ভারটি ছদ্মবেশ তৈরি করতে পারে।
আপনার এসএসএল ক্লায়েন্টের সাথে সংযুক্ত যে কোনও সার্ভারটি একবারে ক্লায়েন্টের কাছ থেকে প্রায় k৪ কেবি মেমরি পুনরুদ্ধার করতে সহায়তা করে। যদি আপনি সংবেদনশীল ডেটা ম্যানিপুলেট করতে একটি দুর্বল ক্লায়েন্ট ব্যবহার করেন এবং পরে একই ক্লায়েন্টের সাথে একটি অবিশ্বস্ত সার্ভারের সাথে সংযুক্ত হন তবে এটি উদ্বেগের বিষয়। এই দিকে আক্রমণ পরিস্থিতি সার্ভার সাইডের চেয়ে উল্লেখযোগ্যভাবে কম less
নোট করুন যে সাধারণ বিতরণগুলির জন্য, প্যাকেজ বিতরণে কোনও সুরক্ষা প্রভাব নেই কারণ প্যাকেজগুলির অখণ্ডতা জিএসজি স্বাক্ষরগুলির উপর নির্ভর করে, এসএসএল পরিবহনের উপর নয়।
সমস্ত প্রভাবিত সার্ভারগুলি অফলাইনে নিন। যতক্ষণ তারা চলছে, ততক্ষণ তারা সম্ভাব্য সমালোচনামূলক ডেটা ফাঁস করছে।
ওপেনএসএসএল লাইব্রেরি প্যাকেজ আপগ্রেড করুন । সমস্ত ডিস্ট্রিবিউশনের এখনই ঠিক করা উচিত (হয় 1.0.1g বা সংস্করণ নম্বর পরিবর্তন না করে বাগ সংশোধনকারী প্যাচ সহ)। আপনি যদি উত্স থেকে সংকলন করেন তবে 1.0.1g বা তার থেকেও উপরে আপগ্রেড করুন। নিশ্চিত হয়ে নিন যে সমস্ত প্রভাবিত সার্ভার পুনরায় চালু হয়েছে।
লিনাক্সে, আপনি সম্ভাব্য প্রভাবিত প্রক্রিয়াগুলি এখনও চলছে কিনা তা পরীক্ষা করতে পারেনgrep 'libssl.*(deleted)' /proc/*/maps
নতুন কী তৈরি করুন । এটি প্রয়োজনীয় কারণ বাগটি কোনও আক্রমণকারীকে পুরানো ব্যক্তিগত কীটি পাওয়ার অনুমতি দেয়। আপনি প্রথমে একই পদ্ধতি ব্যবহার করুন।
এখন আপনার কাছে নতুন আপসহীন কী রয়েছে তাই আপনি আপনার সার্ভারটি অনলাইনে ফিরিয়ে আনতে পারেন ।
পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।
ক্ষতির মূল্যায়ন : এসএসএল সংযোগগুলি সরবরাহ করার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা সম্ভাব্যভাবে ফাঁস হয়ে গেছে। এর মধ্যে ব্যবহারকারীর পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে। আপনার এই ডেটাটি কী হতে পারে তা মূল্যায়ন করতে হবে।
যে সার্ভারগুলি কেবল লোকালহোস্টে বা একটি ইন্ট্রানেটে শোনা হয় কেবল সেগুলিই যদি উন্মোচিত হিসাবে বিবেচিত হয় তবে অবিশ্বস্ত ব্যবহারকারীরা তাদের সাথে সংযোগ করতে পারবেন।
ক্লায়েন্টদের সাথে, কেবল বিরল পরিস্থিতিই রয়েছে যেখানে বাগটি ব্যবহার করা যেতে পারে: শোষণের জন্য আপনাকে একই ক্লায়েন্ট প্রক্রিয়াটি ব্যবহার করতে হবে
সুতরাং উদাহরণস্বরূপ কোনও ইমেল ক্লায়েন্ট যা আপনি কেবল আপনার (সম্পূর্ণ অবিশ্বস্ত নয়) মেল সরবরাহকারীর সাথে সংযোগ করতে ব্যবহার করেন তা উদ্বেগ নয় (কোনও দূষিত সার্ভার নয়)। কোনও ফাইল ডাউনলোড করতে উইজেট চালানো কোনও উদ্বেগ নয় (ফাঁস হওয়ার জন্য কোনও গোপনীয় তথ্য নেই)।
আপনি যদি 2014-04-07 সন্ধ্যায় ইউটিসি এবং আপনার ওপেনএসএসএল লাইব্রেরিটি আপগ্রেড করার মধ্যে করেন তবে ক্লায়েন্টের স্মৃতিতে থাকা কোনও ডেটা আপস করার জন্য বিবেচনা করুন।
lsof -c firefox | grep 'ssl\|crypto'
/usr/lib64/libssl.so.1.0.0, /usr/lib64/libcrypto.so.1.0.0, /lib64/libk5crypto.so.3.1, এবং /opt/firefox/libssl3.so পাই ।
আপনি যদি দুর্বল হন তবে তা পরীক্ষা করতে এখানে যান: http://filippo.io/Heartbleed/
যদি আপনি দেখতে পান যে আপনি দুর্বল আপডেট openssl
এবং আপনার ওয়েবসারভারটি পুনরায় চালু করছেন।