আমি কীভাবে ওপেনএসএসএলে হার্টবেলড বাগ থেকে পুনরুদ্ধার করব?


93

জন্য CVE-2014-0160 ওরফে হার্টব্লিড দ্বারা OpenSSL একটি দুর্বলতার হয়। এটা ভীতিজনক দেখাচ্ছে।

আমি প্রভাবিত কিনা তা আমি কীভাবে নির্ধারণ করব?

আমি যদি আক্রান্ত হই তবে আমার কী করা দরকার? আপাতদৃষ্টিতে আপগ্রেড করা যথেষ্ট নয়।



না এটি ভীতিজনক দেখাচ্ছে না। এটি প্যান্ট-poopingly ভয়াবহ দেখাচ্ছে।
এভামভিড

উত্তর:


95

এই দুর্বলতার উচ্চ সম্ভাব্য প্রভাব রয়েছে কারণ আপনার সিস্টেমে আক্রমণ করা থাকলে তা প্যাচিংয়ের পরেও অরক্ষিত থাকবে এবং আক্রমণগুলিতে লগগুলিতে কোনও চিহ্ন নাও থাকতে পারে। আপনি যদি দ্রুত প্যাচ করেন এবং আপনি একটি উচ্চ-প্রোফাইলের লক্ষ্য না হয়ে থাকেন তবে এমন সম্ভাবনা রয়েছে যে কেউ আপনাকে আক্রমণ করতে পারে নি তবে এটি নিশ্চিত হওয়া শক্ত।

আমি কি দুর্বল?

ওপেনএসএসএল এর বগি সংস্করণ

বগি সফ্টওয়্যারটি ওপেনএসএসএল লাইব্রেরি 1.0.1f পর্যন্ত 1.0.1f এবং বিটা 1 পর্যন্ত ওপেনএসএসএল 1.0.2 রয়েছে। পুরানো সংস্করণ (0.9.x, 1.0.0) এবং সংস্করণগুলি যেখানে বাগটি স্থির করা হয়েছে (1.0.1g এর পরে, 1.0.2 বিটা 2 এর পরে) প্রভাবিত হয় না। এটি একটি বাস্তবায়ন বাগ, প্রোটোকলের কোনও ত্রুটি নয়, তাই কেবল ওপেনএসএসএল লাইব্রেরি ব্যবহার করে এমন প্রোগ্রামগুলি প্রভাবিত হয়।

আপনি openssl version -aওপেনএসএসএল সংস্করণ নম্বরটি প্রদর্শন করতে কমান্ড লাইন সরঞ্জামটি ব্যবহার করতে পারেন । মনে রাখবেন যে কিছু বিতরণ পূর্বের রিলিজগুলিতে বাগ ফিক্সকে পোর্ট করে; যদি আপনার প্যাকেজের পরিবর্তিত লগটিতে হার্টবেল্ড বাগ ফিক্সের কথা উল্লেখ করা হয় তবে তা ঠিক আছে, এমনকি আপনি যদি 1.0.1f এর মতো সংস্করণ দেখেন। যদি openssl version -aসন্ধ্যা ইউটিসি বা তার পরের দিকে 2014-04-07 এর একটি বিল্ড ডেট (প্রথম লাইনে তারিখ নয়) উল্লেখ করা হয়, তবে আপনি ঠিকঠাক হওয়া উচিত। উল্লেখ্য দ্বারা OpenSSL প্যাকেজ থাকতে পারে 1.0.0তার মধ্যে নাম যদিও সংস্করণ 1.0.1 আছে ( 1.0.0বাইনারি সামঞ্জস্য বোঝায়)।

প্রভাবিত অ্যাপ্লিকেশন

শোষণ একটি অ্যাপ্লিকেশনের মাধ্যমে করা হয় যা এসএসএল সংযোগগুলি প্রয়োগ করতে ওপেনএসএসএল লাইব্রেরি ব্যবহার করে । অনেক অ্যাপ্লিকেশন অন্যান্য ক্রিপ্টোগ্রাফিক পরিষেবাদির জন্য ওপেনএসএসএল ব্যবহার করে এবং এটি ঠিক আছে: বাগটি এসএসএল প্রোটোকলের একটি নির্দিষ্ট বৈশিষ্ট্য "হার্টবিট" এর প্রয়োগে রয়েছে।

আপনার সিস্টেমের লাইব্রেরির সাথে কোন প্রোগ্রামগুলি সংযুক্ত রয়েছে তা আপনি পরীক্ষা করতে চাইতে পারেন। Dpkg এবং apt (দেবিয়ান, উবুন্টু, পুদিনা,…) ব্যবহার করা সিস্টেমগুলিতে নিম্নলিখিত কমান্ডটি লাইব্রেরিগুলি libssl1.0.0(প্রভাবিত প্যাকেজ) ব্যবহার করে ইনস্টল করা প্যাকেজগুলি তালিকাভুক্ত করে :

apt-cache rdepends libssl1.0.0 | tail -n +3 |
xargs dpkg -l 2>/dev/null | grep '^ii' | grep -v '^ii  lib'

আপনি যদি এই তালিকায় থাকা কিছু সার্ভার সফ্টওয়্যার চালনা করেন এবং এসএসএল সংযোগ শোনেন, আপনি সম্ভবত প্রভাবিত। এটি ওয়েব সার্ভারগুলি, ইমেল সার্ভারগুলি, ভিপিএন সার্ভার ইত্যাদির বিষয়ে উদ্বেগ জানায় আপনি জানেন যে আপনি এসএসএলকে সক্ষম করেছেন কারণ আপনাকে কোনও শংসাপত্র তৈরি করতে হয়েছিল, কোনও শংসাপত্র কর্তৃপক্ষের কাছে শংসাপত্র স্বাক্ষরের অনুরোধ জমা দেওয়ার মাধ্যমে বা নিজের স্ব-স্বাক্ষর করে সনদপত্র. (এটি সম্ভবত সম্ভব যে কিছু ইনস্টলেশন পদ্ধতি আপনাকে লক্ষ্য না করে একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করেছে, তবে এটি সাধারণত কেবল অভ্যন্তরীণ সার্ভারগুলির জন্যই করা হয়, ইন্টারনেটের মুখোমুখি হওয়া সার্ভারগুলির জন্য নয়)) আপনি যদি ইন্টারনেটের সংস্পর্শে থাকা কোনও দুর্বল সার্ভারটি চালিয়ে যান তবে এটি আপোস করার বিষয়টি বিবেচনা করুন consider আপনার লগগুলি 2014-04-07 তারিখে ঘোষণার পর থেকে কোনও সংযোগ না দেখায়। (এটি ধরে নেয় যে দুর্বলতা তার ঘোষণার আগে কাজে লাগানো হয়নি।) যদি আপনার সার্ভারটি কেবল অভ্যন্তরীণভাবেই উন্মুক্ত হয়,

ক্লায়েন্ট সফ্টওয়্যার কেবল তখনই প্রভাবিত হয় যদি আপনি এটি কোনও দূষিত সার্ভারের সাথে সংযোগ করতে ব্যবহার করেন। সুতরাং যদি আপনি আইএমএপিএস ব্যবহার করে আপনার ইমেল সরবরাহকারীর সাথে সংযুক্ত থাকেন, তবে আপনাকে চিন্তার দরকার নেই (যদি সরবরাহকারী আক্রমণ না করা হয় - তবে যদি সে ক্ষেত্রে তারা আপনাকে জানায়) তবে আপনি যদি কোনও দুর্বল ব্রাউজারের সাহায্যে র্যান্ডম ওয়েবসাইটগুলি ব্রাউজ করেন তবে আপনার প্রয়োজন হতে পারে চিন্তা করতে. এখনও অবধি মনে হচ্ছে যে দুর্বলতাটি এটির আবিষ্কারের আগেই কাজে লাগানো হয়নি, তাই আপনি যদি কেবল 2014-04-08 সাল থেকে দূষিত সার্ভারগুলির সাথে সংযুক্ত থাকেন তবে আপনাকে কেবল উদ্বেগের প্রয়োজন।

নিম্নলিখিত প্রোগ্রামগুলি প্রভাবিত হয়নি কারণ তারা এসএসএল প্রয়োগের জন্য ওপেনএসএসএল ব্যবহার করে না:

  • এসএসএইচ (প্রোটোকল এসএসএল নয়)
  • ক্রোম / ক্রোমিয়াম ( এনএসএস ব্যবহার করে )
  • ফায়ারফক্স (এনএসএস ব্যবহার করে) (উবুন্টু 12.04-তে কমপক্ষে ফায়ারফক্স 27 সহ, তবে সমস্ত বিল্ডের সাথে নয়?

এর প্রভাব কী?

বাগটি কোনও ক্লায়েন্টকে যারা আপনার এসএসএল সার্ভারের সাথে সংযোগ করতে পারে তা একবারে সার্ভার থেকে প্রায় 64৪ কেবি মেমরি পুনরুদ্ধার করতে দেয়। ক্লায়েন্টকে কোনওভাবেই প্রমাণীকরণের দরকার নেই। আক্রমণ পুনরাবৃত্তি করে, ক্লায়েন্ট ক্রমাগত প্রয়াসে মেমরির বিভিন্ন অংশ ডাম্প করতে পারে। এই সম্ভাব্য আক্রমণকারীটি কী, পাসওয়ার্ড, কুকিজ ইত্যাদি সহ সার্ভার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা পুনরুদ্ধার করতে দেয় pot

আক্রমণকারী পুনরুদ্ধার করতে সক্ষম হতে পারে এমন একটি সমালোচনামূলক অংশ হ'ল সার্ভারের এসএসএল ব্যক্তিগত কী। এই ডেটা দিয়ে আক্রমণকারী আপনার সার্ভারটি ছদ্মবেশ তৈরি করতে পারে।

আপনার এসএসএল ক্লায়েন্টের সাথে সংযুক্ত যে কোনও সার্ভারটি একবারে ক্লায়েন্টের কাছ থেকে প্রায় k৪ কেবি মেমরি পুনরুদ্ধার করতে সহায়তা করে। যদি আপনি সংবেদনশীল ডেটা ম্যানিপুলেট করতে একটি দুর্বল ক্লায়েন্ট ব্যবহার করেন এবং পরে একই ক্লায়েন্টের সাথে একটি অবিশ্বস্ত সার্ভারের সাথে সংযুক্ত হন তবে এটি উদ্বেগের বিষয়। এই দিকে আক্রমণ পরিস্থিতি সার্ভার সাইডের চেয়ে উল্লেখযোগ্যভাবে কম less

নোট করুন যে সাধারণ বিতরণগুলির জন্য, প্যাকেজ বিতরণে কোনও সুরক্ষা প্রভাব নেই কারণ প্যাকেজগুলির অখণ্ডতা জিএসজি স্বাক্ষরগুলির উপর নির্ভর করে, এসএসএল পরিবহনের উপর নয়।

আমি কীভাবে দুর্বলতা ঠিক করব?

উন্মুক্ত সার্ভারগুলির প্রতিকার

  1. সমস্ত প্রভাবিত সার্ভারগুলি অফলাইনে নিন। যতক্ষণ তারা চলছে, ততক্ষণ তারা সম্ভাব্য সমালোচনামূলক ডেটা ফাঁস করছে।

  2. ওপেনএসএসএল লাইব্রেরি প্যাকেজ আপগ্রেড করুন । সমস্ত ডিস্ট্রিবিউশনের এখনই ঠিক করা উচিত (হয় 1.0.1g বা সংস্করণ নম্বর পরিবর্তন না করে বাগ সংশোধনকারী প্যাচ সহ)। আপনি যদি উত্স থেকে সংকলন করেন তবে 1.0.1g বা তার থেকেও উপরে আপগ্রেড করুন। নিশ্চিত হয়ে নিন যে সমস্ত প্রভাবিত সার্ভার পুনরায় চালু হয়েছে।
    লিনাক্সে, আপনি সম্ভাব্য প্রভাবিত প্রক্রিয়াগুলি এখনও চলছে কিনা তা পরীক্ষা করতে পারেনgrep 'libssl.*(deleted)' /proc/*/maps

  3. নতুন কী তৈরি করুন । এটি প্রয়োজনীয় কারণ বাগটি কোনও আক্রমণকারীকে পুরানো ব্যক্তিগত কীটি পাওয়ার অনুমতি দেয়। আপনি প্রথমে একই পদ্ধতি ব্যবহার করুন।

    • আপনি যদি কোনও শংসাপত্র কর্তৃপক্ষের স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে আপনার নতুন পাবলিক কীগুলি আপনার সিএতে জমা দিন। আপনি যখন নতুন শংসাপত্র পাবেন, এটি আপনার সার্ভারে ইনস্টল করুন।
    • যদি আপনি স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করেন তবে এটি আপনার সার্ভারে ইনস্টল করুন।
    • যে কোনও উপায়ে, পুরানো কীগুলি এবং শংসাপত্রগুলি বাইরে সরিয়ে দিন (তবে সেগুলি মুছবেন না, কেবল তারা নিশ্চিত হন যে তারা আর ব্যবহার হচ্ছে না)।
  4. এখন আপনার কাছে নতুন আপসহীন কী রয়েছে তাই আপনি আপনার সার্ভারটি অনলাইনে ফিরিয়ে আনতে পারেন ।

  5. পুরানো শংসাপত্রগুলি প্রত্যাহার করুন।

  6. ক্ষতির মূল্যায়ন : এসএসএল সংযোগগুলি সরবরাহ করার প্রক্রিয়াটির স্মৃতিতে থাকা কোনও ডেটা সম্ভাব্যভাবে ফাঁস হয়ে গেছে। এর মধ্যে ব্যবহারকারীর পাসওয়ার্ড এবং অন্যান্য গোপনীয় তথ্য অন্তর্ভুক্ত থাকতে পারে। আপনার এই ডেটাটি কী হতে পারে তা মূল্যায়ন করতে হবে।

    • আপনি যদি এমন কোনও পরিষেবা চালাচ্ছেন যা পাসওয়ার্ড প্রমাণীকরণের অনুমতি দেয়, তবে দুর্বলতার কথা ঘোষণার আগে যে সমস্ত ব্যবহারকারীরা সংযুক্ত ছিলেন তাদের পাসওয়ার্ডগুলি আপোস হিসাবে বিবেচনা করা উচিত। আপনার লগগুলি পরীক্ষা করুন এবং কোনও আক্রান্ত ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করুন।
    • সমস্ত সেশন কুকিজ অকার্যকর করুন, কারণ সেগুলি আপস করা হতে পারে।
    • ক্লায়েন্টের শংসাপত্রগুলি আপোস করা হয় না।
    • দুর্বলতার সামান্য আগে থেকেই যে কোনও ডেটা এক্সচেঞ্জ হয়েছিল তা সার্ভারের স্মৃতিতে থাকতে পারে এবং তাই আক্রমণকারীটির কাছে ফাঁস হয়ে গেছে।
    • যদি কেউ একটি পুরানো এসএসএল সংযোগ রেকর্ড করে থাকে এবং আপনার সার্ভারের কীগুলি পুনরুদ্ধার করে, তারা এখন তাদের ট্রান্সক্রিপ্টটি ডিক্রিপ্ট করতে পারে। (যদি পিএফএস নিশ্চিত না করা হয় - যদি আপনি না জানেন তবে এটি ছিল না))

অন্যান্য ক্ষেত্রে প্রতিকার

যে সার্ভারগুলি কেবল লোকালহোস্টে বা একটি ইন্ট্রানেটে শোনা হয় কেবল সেগুলিই যদি উন্মোচিত হিসাবে বিবেচিত হয় তবে অবিশ্বস্ত ব্যবহারকারীরা তাদের সাথে সংযোগ করতে পারবেন।

ক্লায়েন্টদের সাথে, কেবল বিরল পরিস্থিতিই রয়েছে যেখানে বাগটি ব্যবহার করা যেতে পারে: শোষণের জন্য আপনাকে একই ক্লায়েন্ট প্রক্রিয়াটি ব্যবহার করতে হবে

  1. গোপনীয় ডেটা (যেমন পাসওয়ার্ড, ক্লায়েন্টের শংসাপত্র,…) হেরফের;
  2. এবং তারপরে, একই প্রক্রিয়াতে, SSL- এর মাধ্যমে একটি দূষিত সার্ভারের সাথে সংযুক্ত।

সুতরাং উদাহরণস্বরূপ কোনও ইমেল ক্লায়েন্ট যা আপনি কেবল আপনার (সম্পূর্ণ অবিশ্বস্ত নয়) মেল সরবরাহকারীর সাথে সংযোগ করতে ব্যবহার করেন তা উদ্বেগ নয় (কোনও দূষিত সার্ভার নয়)। কোনও ফাইল ডাউনলোড করতে উইজেট চালানো কোনও উদ্বেগ নয় (ফাঁস হওয়ার জন্য কোনও গোপনীয় তথ্য নেই)।

আপনি যদি 2014-04-07 সন্ধ্যায় ইউটিসি এবং আপনার ওপেনএসএসএল লাইব্রেরিটি আপগ্রেড করার মধ্যে করেন তবে ক্লায়েন্টের স্মৃতিতে থাকা কোনও ডেটা আপস করার জন্য বিবেচনা করুন।

তথ্যসূত্র


5
"সাধারণত, আপনি যদি এমন কোনও সার্ভার চালনা করেন যেখানে আপনি কোনও সময়ে কোনও এসএসএল কী তৈরি করেছেন তখন আপনি প্রভাবিত হন।" বিভ্রান্ত হতে পারে। জোর দেওয়ার জন্য, যদি আপনি একটি সার্ভারে আপনার কী উত্পন্ন করেন এবং এটি অন্যটিতে ব্যবহার করেন তবে সার্ভারটি যদি ওপেনএসএসএল এর দুর্বল সংস্করণটি চালায় তবে আপনি সমস্যায় পড়তে পারেন।
ম্যাট নর্ডহফ 13

3
ক্লায়েন্ট শংসাপত্রগুলি আইআইআরসি
এলাজার লাইবোভিচ

2
@ ইলজারলিবুভিচ ক্লায়েন্ট শংসাপত্রগুলি বিশেষত নয় (আসলে এই বাগ দ্বারা ক্লায়েন্টের শংসাপত্রগুলি ফাঁস হওয়ার সম্ভাবনা নেই), তবে ক্লায়েন্ট মেমোরিতে কোনও ডেটা যদি কোনও ক্লায়েন্ট সার্ভার-ইনিশিয়েটেড হার্টবিটকে সমর্থন করে এমন একটি প্রোটোকল ব্যবহার করে দূষিত সার্ভারের সাথে সংযুক্ত কোনও গ্রন্থাগার সংস্করণ ব্যবহার করে। আমি এই সম্পর্কে বিশেষজ্ঞদের জিজ্ঞাসা , এখনও একটি পরিষ্কার উত্তর ছিল না।
গিলস

1
আমি মনে করি ফায়ারফক্স ওপেনএসএসএল ব্যবহার করে। আমি যদি চালনা করি তবে আমি lsof -c firefox | grep 'ssl\|crypto'/usr/lib64/libssl.so.1.0.0, /usr/lib64/libcrypto.so.1.0.0, /lib64/libk5crypto.so.3.1, এবং /opt/firefox/libssl3.so পাই ।

1
@ B4NZ41 কেবল সুরক্ষা আপগ্রেড করুন Just উপদেষ্টা 20 ঘন্টা ধরে আউট হয়েছে।
গিলস

11

আপনি যদি দুর্বল হন তবে তা পরীক্ষা করতে এখানে যান: http://filippo.io/Heartbleed/

যদি আপনি দেখতে পান যে আপনি দুর্বল আপডেট opensslএবং আপনার ওয়েবসারভারটি পুনরায় চালু করছেন।


1
গিলস তার উত্তরে যেমন উল্লেখ করেছেন, কেবল আপডেট করা এবং পুনরায় চালু করা যথেষ্ট নয়। আপনার ব্যক্তিগত কীগুলির সম্ভাব্য আপসকে আপনার প্রতিক্রিয়া জানাতে হবে - সর্বাধিক প্রাথমিক প্রয়োজন সেই কীগুলি প্রত্যাহার করা, তবে আপনাকে কীটি ব্যবহার করে আপস করা হতে পারে এমন তথ্যও মোকাবেলা করতে হবে। সেশন আইডি মত।
strugee

0

এই বাগ থেকে পুনরুদ্ধার করার কোনও উপায় নেই। সমস্ত লগ সংরক্ষণ করুন, ইভেন্টটি ঘোষণার আগে কেউ যদি বাস্তবে যে দুর্বলতা বাস্তবে বিদ্যমান তা উপলব্ধি করতে পারে তখন তাদের প্রয়োজন হবে

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.