OpenSSL හි හෘදයාබාධිත දෝෂය (CVE-2014-0160) සම්බන්ධ කරන්නේ කෙසේද?

අද වන විට, OpenSSL හි දෝෂයක් (ඇතුළත්) සහ 1.0.1හරහා අනුවාදයන්ට බලපාන බව සොයාගෙන ඇත .1.0.1f1.0.2-beta

උබුන්ටු 12.04 සිට, අප සියල්ලන්ම මෙම දෝෂයට ගොදුරු වේ. මෙම අවදානම වළක්වා ගැනීම සඳහා, බලපෑමට ලක්වූ පරිශීලකයින් OpenSSL වෙත යාවත්කාලීන කළ යුතුය 1.0.1g.

බලපෑමට ලක්වූ සෑම පරිශීලකයෙකුටම දැන් මෙම යාවත්කාලීනය යෙදිය හැක්කේ කෙසේද ?

ආරක්ෂක යාවත්කාලීන, 12.04 සඳහා ලබා ගත හැකිය 12.10, 13,10 සහ 14.04 බලන්න උබුන්ටු ආරක්ෂක දැන්වීම USN-2165-1 .

එබැවින් පළමුව ඔබ ලබා ගත හැකි ආරක්ෂක යාවත්කාලීනයන් යෙදිය යුතුය, උදාහරණයක් ලෙස ධාවනය කිරීමෙන්

sudo apt-get update
sudo apt-get upgrade

විධාන රේඛාවෙන්.

බලපෑමට ලක්වූ OpenSSL අනුවාදය භාවිතා කරන සේවාවන් (HTTP, SMTP, ආදිය) නැවත ආරම්භ කිරීමට අමතක නොකරන්න , එසේ නොමැතිනම් ඔබ තවමත් අවදානමට ලක්ව ඇත. හෘදයාබාධිතයන්ද බලන්න : එය කුමක්ද සහ එය අවම කිරීම සඳහා විකල්ප මොනවාද? Serverfault.com හි.

නැවත ආරම්භ කළ යුතු සියලුම සේවාවන් පහත දැක්වෙන විධානය මඟින් පෙන්වයි (යාවත්කාලීන කිරීමෙන් පසුව):

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

ඊට පසු, ඔබ සියලු සේවාදායක SSL යතුරු නැවත ප්‍රතිනිර්මාණය කළ යුතුය , ඉන්පසු ඔබේ යතුරු කාන්දු වී ඇත්දැයි තක්සේරු කරන්න, එවිට ඔබේ සේවාදායකයින්ගෙන් රහස්‍ය තොරතුරු ප්‍රහාරකයන් විසින් ලබාගෙන ඇත.

දෝෂය හෘදයාබාධ ලෙස හැඳින්වේ .

මම අනාරක්ෂිතද?

සාමාන්‍යයෙන්, ඔබ යම් අවස්ථාවකදී SSL යතුරක් ජනනය කළ සේවාදායකයක් ධාවනය කරන්නේ නම් ඔබට එය බලපායි. බොහෝ අවසාන පරිශීලකයින් (සෘජුවම) බලපෑමට ලක් නොවේ; අවම වශයෙන් ෆයර්ෆොක්ස් සහ ක්‍රෝම් OpenSSL භාවිතා නොකරයි. SSH බලපාන්නේ නැත. උබුන්ටු පැකේජ බෙදා හැරීමට බල නොපායි (එය ජීපීජී අත්සන් මත රඳා පවතී).

ඔබ OpenSSL අනුවාද 1.0–1.0.1f භාවිතා කරන ඕනෑම ආකාරයක සේවාදායකයක් ක්‍රියාත්මක කරන්නේ නම් (දෝෂය සොයාගත් දා සිට පැච් කරන ලද පා course මාලා හැර) ඔබ අවදානමට ලක් වේ. බලපෑමට ලක්වූ උබුන්ටු අනුවාදයන් විශ්වාසදායක පූර්ව නිකුතුවලින් 14.04 සිට 11.10 දක්වා වේ. එය ක්‍රියාත්මක කිරීමේ දෝෂයකි, ප්‍රොටෝකෝලයෙහි අඩුපාඩුවක් නොවේ, එබැවින් OpenSSL පුස්තකාලය භාවිතා කරන වැඩසටහන් පමණක් බලපායි. ඔබ සතුව OpenSSL හි පැරණි 0.9.x අනුවාදයට සම්බන්ධ වැඩසටහනක් තිබේ නම්, එය බලපාන්නේ නැත. SSL ප්‍රොටෝකෝලය ක්‍රියාත්මක කිරීම සඳහා OpenSSL පුස්තකාලය භාවිතා කරන වැඩසටහන් පමණක් බලපායි; වෙනත් දේ සඳහා OpenSSL භාවිතා කරන වැඩසටහන් බලපාන්නේ නැත.

ඔබ අවදානමට ලක්විය හැකි සේවාදායකයක් අන්තර්ජාලයට නිරාවරණය කර ඇත්නම්, 2014-04-07 දින නිවේදනයෙන් පසු ඔබේ ල logs ු-සටහන් කිසිදු සම්බන්ධයක් නොපෙන්වන්නේ නම් එය සම්මුතියක් ලෙස සලකන්න. (මෙය නිවේදනය කිරීමට පෙර අවදානම සූරාකෑමට ලක් නොවූ බව උපකල්පනය කරයි.) ඔබේ සේවාදායකය අභ්‍යන්තරව පමණක් නිරාවරණය වී ඇත්නම්, ඔබ යතුරු වෙනස් කළ යුතුද යන්න රඳා පවතින්නේ වෙනත් ආරක්ෂක පියවරයන් මත ය.

බලපෑම කුමක්ද?

ඔබේ SSL සේවාදායකයට සම්බන්ධ විය හැකි ඕනෑම සේවාදායකයෙකුට 64kB පමණ මතකයක් සේවාදායකයෙන් ලබා ගැනීමට දෝෂය ඉඩ දෙයි . සේවාදායකයා කිසිදු ආකාරයකින් සත්‍යාපනය කිරීම අවශ්‍ය නොවේ. ප්රහාරය පුනරාවර්තනය කිරීමෙන්, සේවාදායකයාට මතකයේ විවිධ කොටස් අනුප්රාප්තික උත්සාහයන් වලදී ඉවත දැමිය හැකිය.

ප්‍රහාරකයාට නැවත ලබා ගත හැකි තීරණාත්මක දත්ත වලින් එකක් වන්නේ සේවාදායකයේ SSL පුද්ගලික යතුරයි. මෙම දත්ත සමඟ, ප්‍රහාරකයාට ඔබේ සේවාදායකය ලෙස පෙනී සිටිය හැකිය.

සේවාදායකයකින් මා සුවය ලබා ගන්නේ කෙසේද?

1. බලපෑමට ලක්වූ සියලුම සේවාදායක නොබැඳි ලෙස ගන්න. ඒවා ක්‍රියාත්මක වන තාක් කල්, ඒවා තීරණාත්මක දත්ත කාන්දු විය හැකිය.

2. libssl1.0.0පැකේජය උත්ශ්‍රේණිගත කර , බලපෑමට ලක්වූ සියලුම සේවාදායකයන් නැවත ආරම්භ කර ඇති බවට වග බලා ගන්න.
   බලපෑමට ලක් වූ ක්‍රියාවලීන් තවමත් `grep 'libssl සමඟ ක්‍රියාත්මක වේදැයි ඔබට පරීක්ෂා කළ හැකිය. (මකා දමන ලදි) '/ proc / / සිතියම්`

3. නව යතුරු ජනනය කරන්න . මෙය අවශ්‍ය වන්නේ දෝෂය මඟින් ප්‍රහාරකයාට පැරණි පුද්ගලික යතුර ලබා ගැනීමට ඉඩ දී ඇති බැවිනි. ඔබ මුලින් භාවිතා කළ ක්‍රියා පටිපාටියම අනුගමනය කරන්න.

   • ඔබ සහතික කිරීමේ අධිකාරියක් විසින් අත්සන් කරන ලද සහතික භාවිතා කරන්නේ නම්, ඔබේ නව පොදු යතුරු ඔබේ CA වෙත ඉදිරිපත් කරන්න. ඔබ නව සහතිකය ලබා ගත් විට, එය ඔබගේ සේවාදායකයේ ස්ථාපනය කරන්න.
   • ඔබ ස්වයං අත්සන් කළ සහතික භාවිතා කරන්නේ නම්, එය ඔබගේ සේවාදායකයේ ස්ථාපනය කරන්න.
   • කෙසේ හෝ පැරණි යතුරු සහ සහතික මග හැර යන්න (නමුත් ඒවා මකා නොදමන්න, ඒවා තවදුරටත් භාවිතා නොකරන බවට සහතික වන්න).

4. දැන් ඔබට නව සම්මුති විරහිත යතුරු ඇති බැවින්, ඔබට ඔබේ සේවාදායකය නැවත මාර්ගගතව ගෙන ඒමට හැකිය .

5. පැරණි සහතික අවලංගු කරන්න.

6. හානිය තක්සේරු කිරීම : එස්එස්එල් සම්බන්ධතාවයන්ට සේවය සපයන ක්‍රියාවලියක මතකයේ ඇති ඕනෑම දත්තයක් කාන්දු වීමට ඉඩ ඇත. පරිශීලක මුරපද සහ වෙනත් රහස්‍ය දත්ත මෙයට ඇතුළත් කළ හැකිය. මෙම දත්ත කුමක් විය හැකිදැයි ඔබ ඇගයීමට ලක් කළ යුතුය.

   • ඔබ මුරපද සත්‍යාපනය කිරීමට ඉඩ දෙන සේවාවක් ක්‍රියාත්මක කරන්නේ නම්, අවදානම ප්‍රකාශයට පත් කිරීමට මඳ වේලාවකට පෙර සිට සම්බන්ධ වූ පරිශීලකයන්ගේ මුරපද සම්මුතියක් ලෙස සැලකිය යුතුය. (මඳ වේලාවකට පෙර, මුරපදය මතකයේ ටික කලක් භාවිතයේ නොතිබූ නිසා විය හැකිය.) ඔබේ ලොග් පරීක්ෂා කර බලපෑමට ලක්වූ ඕනෑම පරිශීලකයෙකුගේ මුරපද වෙනස් කරන්න.
   • සියලු සැසි කුකී අවලංගු කර ඇති බැවින් ඒවා අවලංගු කරන්න.
   • සේවාලාභී සහතික නොසලකා හරිනු නොලැබේ.
   • අවදානමට මඳ වේලාවකට පෙර සිට හුවමාරු වූ ඕනෑම දත්තයක් සේවාදායකයේ මතකයේ රැඳී තිබිය හැකි අතර එය ප්‍රහාරකයෙකුට කාන්දු වන්නට ඇත.
   • යමෙකු පැරණි SSL සම්බන්ධතාවයක් පටිගත කර ඔබගේ සේවාදායකයේ යතුරු ලබාගෙන තිබේ නම්, ඔවුන්ට දැන් ඔවුන්ගේ පිටපත විකේතනය කළ හැකිය. ( පීඑෆ්එස් සහතික කර නොමැති නම් - ඔබ නොදන්නේ නම් එය එසේ නොවේ.)

සේවාදායකයකුගෙන් මා අයකර ගන්නේ කෙසේද?

සේවාදායක යෙදුම් වලට බලපාන අවස්ථා කිහිපයක් පමණි. සේවාදායකයාගේ පැත්තේ ඇති ගැටළුව නම් ඕනෑම කෙනෙකුට සේවාදායකයකට සම්බන්ධ වී දෝෂය ගසාකෑමයි. සේවාදායකයෙකු සූරාකෑම සඳහා, කොන්දේසි තුනක් සපුරාලිය යුතුය:

• SSL ප්‍රොටෝකෝලය ක්‍රියාත්මක කිරීම සඳහා ග්‍රාහක වැඩසටහන OpenSSL පුස්තකාලය දෝෂ සහිත අනුවාදයක් භාවිතා කළේය.
• සේවාදායකයා අනිෂ්ට සේවාදායකයකට සම්බන්ධ කර ඇත. (උදාහරණයක් ලෙස, ඔබ ඊමේල් සපයන්නෙකු හා සම්බන්ධ වූයේ නම්, මෙය ප්‍රශ්නයක් නොවේ.) මෙය සිදුවිය යුතුව තිබුණේ සේවාදායක හිමිකරු අවදානම පිළිබඳව දැනගත් පසුවය, එබැවින් අනුමාන වශයෙන් 2014-04-07 න් පසුවය.
• සේවාදායක ක්‍රියාවලිය තුළ රහස්‍ය දත්ත මතකයේ ඇති අතර එය සේවාදායකය සමඟ බෙදා නොගන්නා ලදි. (එබැවින් ඔබ wgetගොනුවක් බාගත කිරීමට දිව ගියහොත් , කාන්දු වීමට දත්ත නොමැත.)

2014-04-07 සවස යූටීසී සහ ඔබේ ඕපන් එස්එස්එල් පුස්තකාලය යාවත්කාලීන කිරීම අතර ඔබ එය කළේ නම්, සේවාදායක ක්‍රියාවලියේ මතකයේ ඇති ඕනෑම දත්තයක් සම්මුතියකට ගෙන ඒම සලකා බලන්න.

යොමුව

• හෘදයාබාධිත දෝෂය (දෝෂය ස්වාධීනව සොයාගත් කණ්ඩායම් දෙකෙන් එකක්)
• OpenSSL TLS හෘද ස්පන්දනය (හෘදයාබාධිත) සූරාකෑම හරියටම කරන්නේ කෙසේද?
• හෘදයාබාධ යනු සෑම SSL සේවාදායකයක් සඳහාම නව සහතිකයක්ද?
• හෘදයාංගම: එය කුමක්ද සහ එය අවම කිරීම සඳහා විකල්ප මොනවාද?

උබුන්ටු ධාවනයේදී ස්ථාපනය කර ඇති OpenSSL අනුවාදය බැලීමට:

dpkg -l | grep openssl

පහත දැක්වෙන අනුවාද ප්‍රතිදානය ඔබ දුටුවහොත්, CVE-2014-0160 සඳහා පැච් ඇතුළත් කළ යුතුය.

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

Https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 දෙස බලන විට , එය පෙන්වන්නේ කුමන ආකාරයේ දෝෂ නිවැරදි කර ඇත්ද යන්නයි:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

ඔබේ apt-get ගබඩාවල පෙර සැකසූ 1.0.1g OpenSSL අනුවාදයක් නොමැති නම්, නිල වෙබ් අඩවියෙන් මූලාශ්‍ර බාගත කර එය සම්පාදනය කරන්න.

අන්තිම opensl අනුවාදය සම්පාදනය කර ස්ථාපනය කිරීම සඳහා තනි විධාන රේඛාවට පහළින්.

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

පැරණි opensl ද්විමය ගොනුව නව එකක් මඟින් සිම්ලින්ක් හරහා ප්‍රතිස්ථාපනය කරන්න.

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

ඔබ සැවොම හොඳයි!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

Cf මෙම බ්ලොග් සටහන .

සැ.යු: බ්ලොග් සටහනේ සඳහන් කර ඇති පරිදි, මෙම ක්‍රියාකාරීත්වය "1.0.1g openSSL ප්‍රභවයන් සමඟ නැවත සකස් කළ යුතු Nginx සහ Apache සේවාදායකය" නිවැරදි නොකරනු ඇත.

සේවාදායක පුළුල් ඇසුරුම් උත්ශ්‍රේණි කිරීමක් කිරීමට අකමැති අයට. මම අද මෙම මාර්ගෝපදේශ සමූහයක් කියෙව්වාapt-get upgrade openssl === apt-get upgradeමෙය ඔබේ යන්ත්‍රයට අවශ්‍ය සියලුම ආරක්ෂක විසඳුම් අදාළ වේ. පුදුමයි, ඔබ පැහැදිලිවම කොහේ හරි පැරණි පැකේජ අනුවාදයක් වෙත නැඹුරු නොවන්නේ නම්.

Apache 2 ධාවනය වන උබුන්ටු 12.04 LTS සඳහා අවශ්‍ය අවම ක්‍රියාව මෙයයි:

• මෙම ලිපිනය වෙත ගොස් ඔබට අනාරක්ෂිත බව ඔප්පු කරන්න. ඔබ ඔබේ වෙබ් සේවාදායකයේ සෘජු බාහිර ලිපිනය භාවිතා කළ යුතුය. ඔබ ලෝඩ්බාලන්සර් භාවිතා කරන්නේ නම් (උදාහරණයක් ලෙස ඊඑල්බී) ඔබ ඔබේ වෙබ් සේවාදායකය සමඟ කෙලින්ම සම්බන්ධ නොවනු ඇත.

• පැකේජ යාවත්කාලීන කර නැවත ආරම්භ කිරීමට පහත 1 ලයිනර් ධාවනය කරන්න. ඔව්, සියලු මාර්ගෝපදේශකයින් 2014 අප්‍රේල් 4 වන දිනට පසුව ඔබට කාලරාමුව තිබිය යුතු යැයි කියනු මම දුටුවෙමි, මෙය මට එසේ නොවන බව පෙනේ.

  apt-get update && apt-get install openssl libssl1.0.0 && /etc/init.d/apache2 නැවත ආරම්භ කරන්න

• ඔබ සුදුසු පැකේජ සංස්කරණ ස්ථාපනය කර ඇති බවට සහතික කර ඔබගේ වෙබ් සේවාදායකය නැවත වරක් අවදානම සඳහා පරීක්ෂා කරන්න.

යතුරු පැකේජ පහත පරිදි වේ, පහත දැක්වෙන විධානය භාවිතා කරමින් මම මෙම තොරතුරු තීරණය කළෙමි. පසුව කබොල්ල සංස්කරණය කර ඇත (මගේ යන්ත්‍රවල තත්වය ගැන ඔබ එතරම් දැන ගැනීමට අවශ්‍ය නැත).

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12අවදානම අඩංගු නොවිය යුතුය. පහත වෙබ් අඩවියට ගොස් ඔබේ වෙබ් සේවාදායකය පරීක්ෂා කිරීමෙන් මෙය සිදු වන බවට සහතික වන්න.

http://filippo.io/Heartbleed/

මෙහි බොහෝ විචාරකයින් හදිසි උපකාර අවශ්‍ය බව මම දුටුවෙමි. ඔවුන් උපදෙස් පිළිපැදීම, වැඩිදියුණු කිරීම සහ නැවත ආරම්භ කිරීම සහ සමහර පරීක්ෂණ වෙබ් අඩවි භාවිතා කරන විට තවමත් අවදානමට ලක් වේ.

ඔබ සතුව libssl වැනි පැකේජ නොමැති බව තහවුරු කර ගත යුතුය.

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

ඒවා යාවත්කාලීන කිරීමට apt-mark unhold libssl1.0.0(උදාහරණයක් ලෙස). ඉන්පසු වැඩි දියුණු කරන්න : apt-get upgrade -V. බලපෑමට ලක්වූ සේවාවන් නැවත ආරම්භ කරන්න.