सवाल हार्दिक: यह क्या है और इसे कम करने के विकल्प क्या हैं?


यह है एक कैननिकल प्रश्न हार्टबलेड सुरक्षा मुद्दे को समझने और उपचार करने के बारे में।

सीवीई-2014-0160 एकेए "हार्टबलेड" वास्तव में क्या है? कारण क्या है, ओपनएसएसएल के ओएस और संस्करण कमजोर हैं, लक्षण क्या हैं, क्या सफल शोषण का पता लगाने के लिए कोई तरीका है?

मैं यह देखने के लिए कैसे जांच सकता हूं कि मेरा सिस्टम प्रभावित है या नहीं? यह भेद्यता कैसे कम हो सकती है? क्या मुझे चिंतित होना चाहिए कि मेरी चाबियाँ या अन्य निजी डेटा से समझौता किया गया है? मुझे किस दुष्प्रभाव के बारे में चिंतित होना चाहिए?


204
2018-04-08 00:26


मूल


दिल की धड़कन के लिए कमी शामिल अधिक सिर्फ नई चाबियों की तुलना में। (सूचना सुरक्षा स्टैक एक्सचेंज पर मेरे उत्तर से लिंक करें) - scuzzy-delta
मैं आपको सुनता हूं, लेकिन मुझे लगता है कि ईईएए ने काफी नीचे इसे कवर किया है। - MadHatter
मैं सहमत हूं: यह एक अच्छा जवाब है, लेकिन heartbleed.com यह इंगित करने के लिए बहुत प्रयास किया जाता है कि केवल नए कुंजी जोड़े से परे विचार हैं - जैसे पासवर्ड परिवर्तन और सत्र अमान्यता को मजबूर करना। - scuzzy-delta
@ स्कूजी-डेल्टा - अच्छा बिंदु। मैंने अब अपना जवाब सीडब्ल्यू बना दिया है, इसलिए उस जानकारी के साथ इसे संपादित / सुधारने में संकोच न करें। - EEAA
यह क्या है इस पर सबसे अच्छा उदाहरण - (आश्चर्यजनक रूप से) एक्सकेसीडी: xkcd.com/1354 - Wayne Werner


जवाब:


प्रथम, बाहर निकलने से पहले, सुनिश्चित करें कि आप समझते हैं कि यह भेद्यता वास्तव में आपके लिए लागू होती है या नहीं। यदि आपके पास कोई सर्वर है, लेकिन वास्तव में टीएलएस का उपयोग करके कोई भी एप्लिकेशन नहीं है, तो यह आपके लिए ठीक करने के लिए उच्च प्राथमिकता वाली बात नहीं है। अगर, दूसरी तरफ, आप कभी किया है टीएलएस-सक्षम अनुप्रयोग, ठीक है तो आप एक इलाज के लिए हैं। पढ़ते रहिये:

सीवीई-2014-0160 उर्फ ​​"हार्टबलेड" वास्तव में क्या है?

यह एक बड़ी फटकार गड़बड़ है, यही वह है। संक्षेप में, ओपनएसएसएल संस्करण 1.0.1 से 1.0.1 एफ में एक दूरस्थ रूप से शोषण योग्य भेद्यता की खोज की गई जिसके माध्यम से एक हमलावर सिस्टम मेमोरी के कुछ हिस्सों को पढ़ सकता है। उन हिस्सों में वे निजी कुंजी, प्रीशेर्ड कुंजी, पासवर्ड और अन्य मूल्यों के साथ उच्च मूल्यवान कॉर्पोरेट डेटा जैसे संवेदनशील डेटा रखते हैं।

Google सुरक्षा (21 मार्च, 2014) के नील मेहता और फिनिश आईटी सुरक्षा परीक्षण फर्म कोडेनोमिकॉन (2 अप्रैल, 2014) द्वारा बग को स्वतंत्र रूप से खोजा गया था।

कारण क्या है?

खैर, ओपनएसएसएल में गलती कोड। यहाँ वह प्रतिबद्धता है जो भेद्यता को पेश करती है, और यहाँ वह प्रतिबद्धता है जो भेद्यता को तय करती है। बग दिसंबर 2011 में दिखाया गया था और आज 7 अप्रैल, 2014 को पैच किया गया था।

बग को एक बड़ी समस्या के लक्षण के रूप में भी देखा जा सकता है। दो संबंधित समस्याएं हैं (1) यह सुनिश्चित करने के लिए कि कौन सी प्रक्रिया कोड आधार पर गलती कोड नहीं पेश की गई है, और (2) प्रोटोकॉल और एक्सटेंशन इतनी जटिल और परीक्षण करने में कठोर क्यों हैं। मद (1) ओपनएसएसएल और कई अन्य परियोजनाओं के साथ एक शासन और प्रक्रिया मुद्दा है। कई डेवलपर्स बस कोड समीक्षा, विश्लेषण और स्कैनिंग जैसे अभ्यासों का विरोध करते हैं। आइटम (2) पर आईईटीएफ के टीएलएस डब्ल्यूजी पर चर्चा की जा रही है। देख हार्टबलेड / प्रोटोकॉल जटिलता

क्या गलत कोड दुर्भावनापूर्ण रूप से डाला गया था?

मैं इस बात पर अटकलें नहीं लगाऊंगा कि क्या यह वास्तव में एक गलती थी या शायद खराब अभिनेता की ओर से थोड़ा सा कोड फिसल गया था। हालांकि, ओपनएसएसएल के लिए कोड विकसित करने वाले व्यक्ति ने कहा कि यह अनजान था। देख जिस व्यक्ति ने गंभीर 'हार्टबलेड' सुरक्षा दोष पेश किया, वह जानबूझकर इसे डालने से इंकार कर देता है

ओपनएसएसएल के ओएस और संस्करण कमजोर हैं?

जैसा ऊपर बताया गया है, किसी भी ऑपरेटिंग सिस्टम का उपयोग कर रहा है, या ओपनएसएसएल 1.0.1 के माध्यम से 1.0.1f के माध्यम से जुड़ा हुआ एप्लिकेशन।

लक्षण क्या हैं, सफल शोषण का पता लगाने के लिए कोई तरीका है?

यह डरावना हिस्सा है। जहां तक ​​हम जानते हैं, यह पता लगाने का कोई ज्ञात तरीका नहीं है कि इस भेद्यता का शोषण किया गया है या नहीं। यह सैद्धांतिक रूप से संभव है कि आईडीएस हस्ताक्षर जल्द ही जारी किए जाएंगे जो इस शोषण का पता लगा सकते हैं, लेकिन इस लेखन के अनुसार, वे उपलब्ध नहीं हैं।

इस बात का सबूत है कि नवंबर, 2013 के शुरू में जंगली में हार्टबलेड का सक्रिय रूप से शोषण किया जा रहा था। ईएफएफ देखें वाइल्ड एट हार्ट: नवंबर 2013 में हार्टलेड का उपयोग कर खुफिया एजेंसियां ​​थीं? और ब्लूमबर्ग ने रिपोर्ट की कि भेद्यता शुरू होने के तुरंत बाद एनएसए ने शोषण को हथियार दिया था। देख एनएसए ने वर्षों के लिए खुफिया जानकारी के लिए हार्टबलेड बग एक्सप्लोर करने के लिए कहा। हालांकि, अमेरिकी खुफिया समुदाय ब्लूमबर्ग के दावों से इनकार करता है। देख रिकॉर्ड पर आईसी

मैं यह देखने के लिए कैसे जांच सकता हूं कि मेरा सिस्टम प्रभावित है या नहीं?

अगर आप अपने सिस्टम पर ओपनएसएसएल बनाए रख रहे हैं, तो आप बस जारी कर सकते हैं openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

अगर वितरण OpenSSL को बनाए रखता है, तो आप शायद बैक पैचिंग के कारण ओपनएसएसएल के संस्करण को निर्धारित नहीं कर सकते हैं openssl आदेश या पैकेज जानकारी (उदाहरण के लिए, apt-get, dpkg, yum या rpm)। अधिकांश (सभी?) वितरण द्वारा उपयोग की जाने वाली बैक पैचिंग प्रक्रिया केवल मूल संस्करण संख्या का उपयोग करती है (उदाहरण के लिए, "1.0.1e"); और हो गया नहीं एक शामिल प्रभावी सुरक्षा संस्करण (उदाहरण के लिए, "1.0.1 जी")।

पैकेज को बैकपैच किए जाने पर ओपनएसएसएल और अन्य पैकेजों के लिए प्रभावी सुरक्षा संस्करण निर्धारित करने के लिए सुपर उपयोगकर्ता पर एक खुला प्रश्न है। दुर्भाग्यवश, कोई उपयोगी उत्तर नहीं है (डिस्ट्रो की वेबसाइट की जांच के अलावा)। देख बैकपैचिंग का सामना करते समय प्रभावी सुरक्षा संस्करण का निर्धारण करें?।

अंगूठे के नियम के रूप में: यदि आपने कभी भी प्रभावित संस्करणों में से एक स्थापित किया है, और कभी भी प्रोग्राम या सेवाओं को चलाया है जो ओपनएसएसएल के खिलाफ टीएलएस समर्थन के लिए जुड़े हैं, तो आप कमजोर हैं।

भेद्यता के परीक्षण के लिए मुझे प्रोग्राम कहां मिल सकता है?

हार्टबलेड घोषणा के कुछ घंटों के भीतर, इंटरनेट पर कई लोगों ने सार्वजनिक रूप से सुलभ वेब अनुप्रयोगों का प्रचार किया था जो माना जाता है कि इस भेद्यता की उपस्थिति के लिए सर्वर की जांच करने के लिए इस्तेमाल किया जा सकता था। इस लेखन के अनुसार, मैंने किसी की समीक्षा नहीं की है, इसलिए मैं उनके आवेदनों को और प्रचारित नहीं करूंगा। वे आपके पसंदीदा खोज इंजन की सहायता से अपेक्षाकृत आसानी से पाए जा सकते हैं।

यह भेद्यता कैसे कम हो जाती है?

एक गैर-कमजोर संस्करण में अपग्रेड करें और कमजोर डेटा को रीसेट या पुनः सुरक्षित करें। जैसा कि पर ध्यान दिया गया है Heartbleed साइट, उपयुक्त प्रतिक्रिया कदम मोटे तौर पर हैं:

  1. पैच कमजोर सिस्टम।
  2. नई निजी कुंजी पुनर्जन्म।
  3. अपने सीए में नया सीएसआर जमा करें।
  4. नए हस्ताक्षरित प्रमाण पत्र प्राप्त करें और स्थापित करें।
  5. अमान्य सत्र कुंजी और कुकीज़
  6. पासवर्ड रीसेट करें और साझा रहस्य
  7. पुराना प्रमाणपत्र रद्द करें।

अधिक विस्तृत विश्लेषण और उत्तर के लिए, देखें हार्टलेड ओपनएसएसएल शोषण के बारे में वेबसाइट ऑपरेटर को क्या करना चाहिए?सुरक्षा स्टैक एक्सचेंज पर।

क्या मुझे चिंतित होना चाहिए कि मेरी चाबियाँ या अन्य निजी डेटा रहे हैं   समझौता किया? मुझे किस दुष्प्रभाव के बारे में चिंतित होना चाहिए?

पूर्ण रूप से। सिस्टम प्रशासकों को करने की जरूरत है मान लीजिये कि उनके सर्वर जो कमजोर OpenSSL संस्करणों का उपयोग करते हैं, वास्तव में समझौता किए जाते हैं और तदनुसार जवाब देते हैं।

भेद्यता का खुलासा करने के कुछ ही समय बाद, क्लाउडफेयर ने यह देखने के लिए एक चुनौती दी कि क्या एक सर्वर की निजी कुंजी अभ्यास में ठीक हो सकती है। चुनौती स्वतंत्र रूप से फेडरर इंडुनी और इल्का मटिला ने जीती थी। देख हार्टलेड चैलेंज

मुझे अधिक जानकारी कहां से मिल सकती है?

अधिक जानकारी के लिए देख रहे लोगों के लिए लिंक डंप:


प्रकटीकरण घटनाओं की एक विस्तृत समयरेखा पर पाया जा सकता है हार्दिक प्रकटीकरण समयरेखा: कौन जानता था कि कब और कब


यदि आप एक प्रोग्रामर हैं और ओपनएसएसएल के माध्यम से एक हार्टलेड हमले का पता लगाने जैसी विभिन्न प्रोग्रामिंग चालों में रूचि रखते हैं msg_cb कॉलबैक, फिर ओपनएसएसएल देखें सुरक्षा सलाहकार 2014047


118
2018-04-08 04:23



के लिए +1 बन्द कर दिया। नीचे। तुंहारे। सर्वर। * - यदि आप कुछ भी करते हैं जहां एसएसएल वास्तव में महत्वपूर्ण है, तो इसे तब तक बंद करें जब तक आप इस मुद्दे को ठीक नहीं करते। नए प्रमाण पत्र स्थापित करने के लिए भी मत भूलना (के साथ नई चाबियाँ) आपके सर्वर को पैच करने के बाद - आपकी पुरानी कुंजियों का पुन: उपयोग करना (जो समझौता किया गया हो सकता है) भेद्यता को पकड़ने के पूरे उद्देश्य को हरा देता है ... - voretaq7
भी - OpenSSL पुस्तकालयों से लिंक करने वाली किसी भी सेवा को पुनरारंभ करें। अपने डेमन्स को पुनरारंभ किए बिना ओपनएसएसएल को अपग्रेड करना उतना अच्छा है जितना कि अपग्रेड नहीं करना। - EEAA
वास्तव में - किसी भी प्रकार के प्रमुख पैच (ओपनएसएसएल की तरह) के बाद मैं यह सुनिश्चित करने के लिए मशीन को रीबूट करने का एक अच्छा नियम मानता हूं कि आपको कुछ भी याद नहीं है। - voretaq7
परीक्षकों में से एक खुलासा किया गया है: github.com/FiloSottile/Heartbleed - Riking
@EEAA, "अपने सर्वर को बंद करें" का मतलब यह नहीं है कि आपको शक्ति खींचनी है। इसका मतलब है कि बंद करें (या एसएसएल / टीएलएस को अक्षम करने के लिए पुन: कॉन्फ़िगर करें) अपाचे, या जो भी सेवा सेवा कर रही है। - psusi


एक्सकेसीडी द्वारा बग का एक सरल स्पष्टीकरण:

XKCD 1354


42
2018-04-08 07:28





उबंटू 12.04, 12.10, और 13.10

उबंटू जारी किया गया है USN-2165-1, जो बताता है कि अद्यतन पैकेज अब अभिलेखागार में उपलब्ध हैं। फिक्स को पकड़ने के लिए निम्न दो आदेश चलाएं।

sudo apt-get update
sudo apt-get upgrade

उबंटू 14.04

मैंने इस उद्देश्य के लिए स्थापित एक पीपीए में नई रिलीज (1.0.1 जी) युक्त एक डेबियन पैकेज अपलोड किया है। ये तीन आदेश आपके सिस्टम में मेरे पीपीए जोड़ देंगे, उपलब्ध संकुलों की सूची अपडेट करेंगे, और सबकुछ अपग्रेड करेंगे:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

नोट: पीपीए उबंटू 12.04 और 13.10 के लिए पैकेज भी प्रदान करता है, अगर आप वास्तव में अभिलेखागार में पैच किए गए संस्करणों का उपयोग करने के बजाय वास्तव में नया संस्करण (1.0.1 जी) चलाते हैं।

उबंटू 10.04

यह एक एलटीएस संस्करण है, सर्वर संस्करण अभी भी समर्थित है और सुरक्षा अद्यतन प्राप्त करता है। लेकिन दिल की कमजोर भेद्यता ने यूबंटू 10.04 की मानक स्थापना के ओपनएसएल पैकेज को प्रभावित नहीं किया, क्योंकि संस्करण 1.0.1 से नीचे है।

डेस्कटॉप संस्करण जीवन के अंत तक पहुंच गया है और इसे अपग्रेड / पुनर्स्थापित करने की आवश्यकता है।

उबंटू 13.04 और अन्य पुराने संस्करण

उबंटू 13.04 का एक बहुत छोटा सा समर्थन चक्र था जिसे आप उम्मीद नहीं कर सकते थे। यह पहले से ही जीवन के अंत तक पहुंच गया है और अब सुरक्षा अपडेट प्राप्त नहीं होता है। इसे लंबे समय से अपग्रेड किया जाना चाहिए। यदि अभी भी कोई इसका उपयोग कर रहा है, तो कृपया स्क्रैच से या तो अपग्रेड करें या इसे आसान प्रक्रिया के बाद इसे गैर-विनाशकारी 13.10 तक अपग्रेड किया जा सकता है: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ अपग्रेड के बाद सिस्टम को 13.10 से दिल से पैच प्राप्त होता है।

अन्य सभी पुराने यूबंटू संस्करणों के लिए इसका मतलब है कि मूल रूप से एक ताजा इंस्टॉल आवश्यक है।

सत्यापित करें कि पैच लागू किया गया था

अनिवार्य रूप से, भागो openssl version -a और सुनिश्चित करें कि बिल्ड तिथि 7 अप्रैल, 2014 या बाद में है, लेकिन अधिक देखें यहाँ

रीबूट

यह सुनिश्चित करने का सबसे अच्छा तरीका है कि ओपनएसएसएल के आधार पर सभी सेवाएं पुनरारंभ की जाती हैं रिबूट


36
2018-04-08 10:37



मैं अन्य संस्करणों के लिए बात नहीं कर सकता, लेकिन सटीक (12.04) के लिए एक पैच उपलब्ध प्रतीत होता है। हालांकि मैं निश्चित रूप से यह नहीं कह सकता कि यह भेद्यता को हल करता है, इसे कम से कम प्रासंगिक प्रतिबद्धता के बाद संकलित किया गया था (Mon Apr 7 20:31:55 UTC 2014)। - Calrion
@ कैलरियन: ओपनएसएसएल के लिए एक पैच या ओपनएसएसएल के लिए डेबियन पैकेजिंग? ओपनएसएसएल को पहले ही तय कर दिया गया है और एक नई रिलीज जारी की गई है। - Nathan Osman
ओपनएसएल अपडेट होने पर मौजूदा कनेक्शन का क्या होगा? क्या उन्हें गिरा दिया जाएगा? - pdeva
यह इस बात पर निर्भर करता है कि आप किस वेब सर्वर का उपयोग कर रहे हैं और आप कैसे अपडेट करते हैं। ऐसा कहा जा रहा है कि, मैं मौजूदा कनेक्शन को छोड़ने की चिंता नहीं करता क्योंकि वे कमजोर संस्करण का उपयोग कर रहे हैं। - Nathan Osman
14.04 तब से एक पैच प्राप्त किया है। - Seth


रेडहाट 6.5 और सेंटोस 6.5

ये कमजोर हैं। रेडहाट का इरेटाम आरएचएसए-2014-0376 कहता है कि पैच किए गए पुस्तकालय उपलब्ध हैं, और प्रभावित किसी भी व्यक्ति को जल्द से जल्द अपग्रेड करना चाहिए।

लिखने के समय, सेंटोस के पास अभी तक एक निश्चित संस्करण नहीं था, लेकिन करनबीर सिंह की सेंटोस-घोषणा में पोस्टिंग कहते हैं कि उन्होंने openssl का एक अद्यतन संस्करण बनाया है (openssl-1.0.1e-16.el6_5.4.0.1, पिछले चार अंकों को ध्यान दें जो महत्वपूर्ण हैं) जिनके पास शोषक टीएलएस कमांड अक्षम है, और इसे सुरक्षित रूप से लागू किया जा सकता है क्योंकि इसे अंततः रिलीज़ होने पर एक निश्चित संस्करण द्वारा ओवरराइट किया जाएगा।

अस्थायी रूप से निश्चित संस्करण ने इसे अभी तक सभी दर्पणों पर नहीं बनाया है, लेकिन मुख्य भंडार में है http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (और इसी तरह i686 के लिए)।

संपादित करें: जैसा कि इयान कहते हैं, अब सी 6.5 के लिए पूरी तरह से पैच संस्करण दिखाई देता है, और ऐसा लगता है कि जल्दी में दर्पणों के आसपास धक्का दिया गया है। एक सीधा yum update इसे मेरे सर्वर के लिए मिला; आईटी इस openssl-1.0.1e-16.el6_5.7

6.5 से पहले आरएच 6 और सी 6 के संस्करण

ये कमजोर नहीं हैं। इसके अनुसार रेड हैट से यह सलाहकार,

इस मुद्दे ने लाल रंग के साथ भेजे गए openssl के संस्करणों को प्रभावित नहीं किया था   हैट एंटरप्राइज़ लिनक्स 5 और Red Hat Enterprise Linux 6.4 और इससे पहले।

करनबीर सिंह की सेंटोस-घोषणा में पोस्टिंग संस्करण के बारे में समान रूप से स्पष्ट है:

इससे पहले आज के दिन, हमें गंभीर से अवगत कराया गया था   CentOS-6.5 में भेजे गए openssl में समस्या


14
2018-04-08 13:07



नहीं है lists.centos.org/pipermail/centos-announce/2014-April/... फिक्स की रिहाई? - Iain


डेबियन व्हीजी

डेबियन जारी किया गया है DSA-2896-1 और पैच पुस्तकालय हैं यहां उपलब्ध है। एक खोल स्क्रिप्ट है यहां उपलब्ध है

1. पैच

Apt-get रिपोजिटरी को अपडेट किया गया था, इसलिए अब पैच किए गए पुस्तकालयों के माध्यम से उपलब्ध हैं apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

वैकल्पिक रूप से (अनुशंसित नहीं) पैकेज मैन्युअल रूप से अपग्रेड किया जा सकता है:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. सर्वर / सेवाओं को पुनरारंभ करें

सर्वोत्तम सुरक्षा के लिए पूरे सर्वर को पुनरारंभ करें या यदि सर्वर ऑफ़लाइन नहीं हो सकता है तो आवश्यक सेवाओं को पुनरारंभ करें।

3. ओपनएसएसएल संस्करण की जांच करें

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



अगर आपको अपडेट मिल रहे हैं wheezy/security तो आप के साथ अच्छा होगा apt-get update && apt-get upgrade। या, संकुल को अद्यतन करने के लिए एक इंटरैक्टिव पैकेज प्रबंधक का उपयोग करें openssl, libssl1.0.0, libssl1.0.0-dbg तथा libssl-dev (जैसा कि आपके सिस्टम पर स्थापित है)। - α CVn
एपीटी-गेट का उपयोग करने से मेरे लिए समस्या ठीक नहीं होती है - अभी भी ओपनएसएसएल 1.0.1e 11 फरवरी 2013 दिखा रहा है - user568829
धन्यवाद @ माइकल-केजोरलिंग, जब मैंने ऐसा किया, तो यह उपलब्ध नहीं था, लेकिन यह अपग्रेड करने का सबसे सुरक्षित और सही तरीका है। - jacksoncage
पैच खोलने के बाद @ user568829 openssl संस्करण अभी भी दिखाएगा OpenSSL 1.0.1e 11 Feb 2013 क्योंकि पैच को 1.0.1e-2 कहा जाता है। आप के साथ जांच सकते हैं dpkg -l openssl और यह संस्करण दिखाना चाहिए 1.0.1e-2+deb7u6 - jacksoncage
मैं ओपनएसएसएल को अद्यतन करने के बाद मेजबान को पुनरारंभ करने का सुझाव दूंगा, क्योंकि यह सख्ती से जरूरी नहीं है बल्कि मन की शांति के लिए कम से कम सब कुछ जो ओपनएसएसएल पुस्तकालयों को लोड करता है गतिशील रूप से नए संस्करण का उपयोग कर रहा है। (सांख्यिकीय रूप से जुड़ा एक और मामला है।) उसने कहा, मुझे पता है कि कुछ सर्वर आसानी से उन सभी परिस्थितियों में रीबूट नहीं किए जा सकते हैं जहां एक सेवा पुनरारंभ स्वीकार्य हो सकती है। - α CVn


मैं यह इंगित करना चाहता हूं कि निजी कुंजी केवल एकमात्र संपत्ति नहीं है जिसे समझौता किया जाना चाहिए। बग में रिसाव की संभावना है कोई भी ओपनएसएसएल के समान पता स्थान (यानी, एक ही प्रक्रिया) में चल रही स्मृति। इसलिए, यदि आप एक सर्वर प्रक्रिया चला रहे हैं जहां ओपनएसएसएल का एक कमजोर संस्करण स्थिर या गतिशील रूप से जुड़ा हुआ है, जानकारी का कोई भी टुकड़ा जिसे उस प्रक्रिया ने कभी संभाला है, पासवर्ड, क्रेडिट कार्ड नंबर और अन्य व्यक्तिगत डेटा सहित, संभावित रूप से समझौता किया जाना चाहिए।


9
2018-04-08 20:23





फ्रीबीएसडी 10.0 या openssl बंदरगाहों से

फ्रीबीएसडी सुरक्षा टीम सीवीई -2013-0160 (उर्फ "हार्टबलेड") के संबंध में एक सलाह जारी की है और: FreeBSD-SA-14: 06.openssl

  1. फ्रीबीएसडी अपडेट कर रहा है

    • एक बाइनरी पैच के माध्यम से फ्रीबीएसडी अद्यतन कर रहा है

      सिस्टम चल रहा है प्रसारित संस्करण पर फ्रीबीएसडी का i386 या amd64 प्लेटफॉर्म को फ्रीब्स-अपडेट (8) उपयोगिता के माध्यम से अपडेट किया जा सकता है:

      # freebsd-update fetch
      # freebsd-update install
      
    • स्रोतों से फ्रीबीएसडी अपडेट कर रहा है

      1. नीचे दिए गए स्थान से प्रासंगिक पैच डाउनलोड करें, और सत्यापित करें अपनी पीजीपी उपयोगिता का उपयोग कर अलग पीजीपी हस्ताक्षर।

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. निम्न आदेशों को रूट के रूप में निष्पादित करें:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. ऑपरेटिंग सिस्टम को पुन: संकलित करें

        का उपयोग करते हुए buildworld तथा installworld जैसा कि वर्णन किया गया है फ्रीबीएसडी हैंडबुक

  2. अद्यतन करें openssl न्यूनतम संस्करण के साथ बंदरगाह 1.0.1_10

  3. लाइब्रेरी का उपयोग कर सभी डेमॉन को पुनरारंभ करें, या सिस्टम को रीबूट करें

  4. इस तरह कार्य करें कि आपके सिस्टम से समझौता किया गया है, अपनी सभी एसएसएल कुंजी और / या प्रमाणपत्रों को पुनः जारी करें और संभावित रूप से लीक की गई जानकारी (देखें EEAA अधिक सामान्य उत्तर)।

फ्रीबीएसडी 9 .x और फ्रीबीएसडी 8.x

ये प्रणाली हैं कमजोर नहीं है को Heartbleed डिफ़ॉल्ट रूप से जारी करें, जैसा कि पुराने 0.9.x संस्करण पर निर्भर है openssl पुस्तकालय, जब तक आपने स्थापित किया openssl  बंदरगाहों से (ऊपर की ओर देखें)।

यदि ये सिस्टम कमजोर नहीं हैं Heartbleed मुद्दा, किसी अन्य के कारण बाद में आपके सिस्टम को अपग्रेड करना बुद्धिमान हो सकता है स्थानीय भेद्यता (देखें FreeBSD-SA-14: 06.openssl और ऊपर "फ्रीबीएसडी 10.0" अनुभाग):

एक स्थानीय हमलावर एक हस्ताक्षर प्रक्रिया को छीनने में सक्षम हो सकता है और ठीक हो सकता है   इससे हस्ताक्षर कुंजी। [CVE-2014-0076]

ध्यान दें:

असली Heartbleed सलाहकार सूची फ्रीबीएसडी 8.4 और 9.1 संभावित रूप से कमजोर होने के नाते। इसकी कमी के कारण यह सच नहीं है हार्टबीट एक्सटेंशन (डिफ़ॉल्ट फ्रीबीएसडी openssl लाइब्रेरी संस्करण 0.9.x है)।


9
2018-04-11 08:03





मैंने कई उपकरणों पर उपयोग में एसएसएल के संस्करणों को निर्धारित करने के लिए असंभव के बगल में पाया। यद्यपि यह तकनीकी रूप से कमजोर नहीं है, वर्तमान में कमजोर मेजबान आईडी मेरी सूची के शीर्ष पर था।

मैंने एक छोटा वीएम रखा जो मनमाने ढंग से मेजबान और बंदरगाहों के उपयोग से जांच करेगा FiloSottile परीक्षण मॉड्यूल। प्रारंभिक नज़र में कोड ध्वनि दिखता है।

पूरा वीएम की रिहाई है यहाँ। यह वीएमएक्स प्रारूप में है।

चेतावनी के शब्द

यह स्क्रिप्ट और वीएम होगा केवल अपने सिस्टम की वर्तमान स्थिति दिखाएं। यह पूरी तरह से संभव है कि अतीत में किसी बिंदु पर कि आपके सिस्टम एक कमजोर स्थिति में थे और दुर्व्यवहार किया जा सकता था।

यहां कुछ दिखा रहा है निश्चित रूप से ठीक करने के लिए एक उच्च प्राथमिकता है लेकिन यह करता है नहीं अद्यतनों को लागू करने और अपनी सभी चाबियों को बदलने के लिए आपको हुक से बाहर ले जाएं।


3



मुझे बस स्नैप से एक ईमेल मिला, यह उनका है। बोलो (आहार देखो पर रहो) ! - Jacob