প্রশ্ন Heartbleed: এটা কি এবং এটি কমানোর বিকল্প কি কি?


এটা একটা ক্যানোনিকাল প্রশ্ন হৃদয়গ্রাহী নিরাপত্তা সমস্যা বোঝার এবং remediating সম্পর্কে।

CVE-2014-0160 AKA "Heartbleed" ঠিক কি? কারণ কি, ওএসএস ও ওপেনএসএল-এর সংস্করণ কি দুর্বল, কী উপসর্গগুলি, কোনও সফল শোষণ সনাক্ত করার কোন পদ্ধতি আছে?

কিভাবে আমার সিস্টেম প্রভাবিত হয় তা দেখতে আমি কিভাবে পরীক্ষা করতে পারি? কিভাবে এই দুর্বলতা হ্রাস করা যাবে? আমি কি আমার চাবি বা অন্যান্য ব্যক্তিগত তথ্য আপোস করা হয়েছে যে উদ্বিগ্ন করা উচিত? আমি কি অন্য পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন করা উচিত?


204
2018-04-08 00:26


উত্স


Heartbleed জন্য ক্ষয় জড়িত অধিক শুধু নতুন কী চেয়ে। (তথ্য নিরাপত্তা স্ট্যাক এক্সচেঞ্জ আমার উত্তর লিঙ্ক) - scuzzy-delta
আমি আপনাকে শুনতে, কিন্তু আমি মনে করি EEAA বেশ ব্যাপকভাবে যে নিচে আচ্ছাদিত। - MadHatter
আমি একমত: এটি একটি মহান উত্তর, কিন্তু heartbleed.com পাসওয়ার্ড পরিবর্তন এবং সেশন অকার্যকরকরণ বাধ্যতামূলক করার মতো নতুন কী জোড়াগুলির বাইরে বিবেচনার বিষয়গুলি নির্দেশ করার জন্য প্রচুর প্রচেষ্টা চালায়। - scuzzy-delta
@ স্কাজি-ডেল্টা - ভাল পয়েন্ট। আমি এখন আমার উত্তর সিডাব্লিউ করেছি, তাই এই তথ্যটি সম্পাদনা / উন্নত করতে বিনা দ্বিধায়। - EEAA
এটির সেরা উদাহরণ - (অস্পষ্টভাবে) XKCD: xkcd.com/1354 - Wayne Werner


উত্তর:


প্রথম, ক্ষতিকারক হওয়ার আগে, এই দুর্বলতা আসলে আপনাকে প্রযোজ্য কিনা তা বোঝার বিষয়ে নিশ্চিত হন। যদি আপনার কোন সার্ভার থাকে, তবে প্রকৃতপক্ষে TLS ব্যবহার করে কোনও অ্যাপ্লিকেশন না থাকে তবে আপনার ঠিক করার জন্য এটি একটি উচ্চ-অগ্রাধিকারমূলক বিষয় নয়। যদি অন্য দিকে, আপনি কখনও আছে TLS- সক্ষম অ্যাপ্লিকেশন, ভাল তারপর আপনি একটি চিকিত্সা জন্য করছি। পড়তে:

কি সিভি-2014-0160 উকিল "Heartbleed" ঠিক কি?

এটি একটি বড় fricking জগাখিচুড়ি, যে এটা কি। সংক্ষেপে, OpenSSL সংস্করণ 1.0.1 থেকে 1.0.1f এ একটি দূরবর্তী-শোষণযোগ্য দুর্বলতা আবিষ্কৃত হয়েছিল যার মাধ্যমে একটি আক্রমণকারী সিস্টেম মেমরির কিছু অংশ পড়তে পারে। সেই অংশগুলির মধ্যে রয়েছে ব্যক্তিগত তথ্য যেমন গোপনীয় কী, পূর্বশর্ত কী, পাসওয়ার্ড এবং অন্যান্য জিনিসের মধ্যে উচ্চ মূল্যবান কর্পোরেট ডেটা।

গুগল সিকিউরিটির নীল মেহতা (২1 শে মার্চ, ২014) এবং ফিনিশ আইটি নিরাপত্তা পরীক্ষার সংস্থা কোডেনোমিকন (২ এপ্রিল, ২014) দ্বারা বাগটি স্বাধীনভাবে আবিষ্কৃত হয়েছিল।

কারণটা কি?

আচ্ছা, OpenSSL এ ত্রুটিপূর্ণ কোড। এখানে দুর্বলতা চালু, এবং এখানে দুর্বলতা সংশোধন যে কমিটি। 2011 সালের ডিসেম্বরে বাগ দেখানো হয়েছিল এবং আজ 7 এপ্রিল, ২014 তারিখে এটি প্যাচ করা হয়েছিল।

বাগ এছাড়াও একটি বড় সমস্যা একটি উপসর্গ হিসাবে দেখা যেতে পারে। দুটি সম্পর্কিত সমস্যাগুলি হল (1) কোন কোড বেসে ত্রুটিপূর্ণ কোড প্রবর্তিত না হয় তা নিশ্চিত করার জন্য কোন প্রক্রিয়া আছে এবং (২) প্রোটোকল এবং এক্সটেনশানগুলির পরীক্ষা এত জটিল এবং কেন কঠিন। আইটেম (1) ওপেনএসএল এবং অন্যান্য অনেক প্রকল্পগুলির সাথে একটি গভর্নেন্স এবং প্রক্রিয়া সমস্যা। অনেক ডেভেলপার কেবল কোড রিভিউ, বিশ্লেষণ এবং স্ক্যানিং হিসাবে অনুশীলনগুলি প্রতিরোধ করে। আইটেমটি (২) আইইটিএফ এর টিএলএস ডব্লিউজি-তে আলোচনা করা হচ্ছে। দেখ Heartbleed / প্রোটোকল জটিলতা

ত্রুটিপূর্ণ কোড দূষিতভাবে ঢোকানো ছিল?

আমি আসলেই খারাপ ভুল অভিনেতার পক্ষ থেকে একটি ভুল বা সম্ভবত কিছুটা কোড স্লিপ করেছি কিনা তা সম্পর্কে ধারণা করব না। যাইহোক, যে ব্যক্তি ওপেনএসএল-এর কোডটি বিকাশ করেছিল, তিনি অযৌক্তিক বলেছিলেন। দেখ গুরুতর 'Heartbleed' নিরাপত্তা ত্রুটি চালু যারা মানুষ অস্বীকার করে তিনি ইচ্ছাকৃতভাবে ঢোকানো

ওএসএস ও ওপেনএসএল এর সংস্করণ কি দুর্বল?

উপরে উল্লিখিত, যে কোনও অপারেটিং সিস্টেম যা ব্যবহার করছে, অথবা অ্যাপ্লিকেশন যা OpenSSL 1.0.1 থেকে 1.0.1f এর সাথে লিঙ্কযুক্ত।

উপসর্গ কি, একটি সফল শোষণ সনাক্ত করার জন্য কোন পদ্ধতি?

এই ভীতিকর অংশ। যতদূর আমরা জানি, এই দুর্বলতা শোষিত হয়েছে কিনা তা সনাক্ত করার কোন উপায় নেই। এটি তাত্ত্বিকভাবে সম্ভব যে আইডিএস স্বাক্ষর শীঘ্রই মুক্তি পাবে যা এই শোষণটি সনাক্ত করতে পারে, কিন্তু এই লেখার মতো, এটি উপলব্ধ নয়।

২013 সালের নভেম্বরে যত তাড়াতাড়ি সম্ভব হার্বলেড সক্রিয়ভাবে শোষিত হচ্ছে তার প্রমাণ পাওয়া যায়। EFF এর দেখুন হার্ট এ ওয়াইল্ড: নভেম্বর 2013 এ Heartbleed ব্যবহার করে গোয়েন্দা সংস্থা ছিল? এবং ব্লুমবার্গ রিপোর্ট করে যে দুর্বলতা প্রবর্তনের অল্প কিছুদিন পরে এনএসএ এই শোষণের অস্ত্রোপচার করেছিল। দেখ এনএসএ জানায় বছরের গোয়েন্দা তথ্যের জন্য হার্টব্লগড বাগ এক্সপ্লোর করুন। যাইহোক, মার্কিন গোয়েন্দা সংস্থা ব্লুমবার্গ এর দাবি অস্বীকার করে। দেখ রেকর্ড উপর আইসি

কিভাবে আমার সিস্টেম প্রভাবিত হয় তা দেখতে আমি কিভাবে পরীক্ষা করতে পারি?

যদি আপনি আপনার সিস্টেমে OpenSSL রক্ষণাবেক্ষণ করছেন, তবে আপনি সহজেই ইস্যু করতে পারেন openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

যদি বন্টন OpenSSL বজায় রাখা হয়, তাহলে আপনি সম্ভবত প্যাচিং ব্যবহার করে OpenSSL এর সংস্করণ নির্ধারণ করতে পারবেন না openssl কমান্ড বা প্যাকেজ তথ্য (উদাহরণস্বরূপ, apt-get, dpkg, yum অথবা rpm)। সর্বাধিক (সমস্ত?) বিতরণগুলি দ্বারা ব্যবহৃত ব্যাক প্যাচিং প্রক্রিয়া শুধুমাত্র বেস সংস্করণ নম্বর ব্যবহার করে (উদাহরণস্বরূপ, "1.0.1e"); এবং আছে না একটি অন্তর্ভুক্ত কার্যকর নিরাপত্তা সংস্করণ (উদাহরণস্বরূপ, "1.0.1g")।

ওপেনএসএল এবং প্যাকেজ ব্যাকপ্যাড করার সময় অন্যান্য প্যাকেজগুলির জন্য কার্যকর সুরক্ষা সংস্করণ নির্ধারণ করতে সুপার ব্যবহারকারীর একটি খোলা প্রশ্ন রয়েছে। দুর্ভাগ্যবশত, কোন দরকারী উত্তর নেই (distro এর ওয়েবসাইট চেক ছাড়া)। দেখ ব্যাকপ্যাচিংয়ের মুখোমুখি হলে কার্যকরী সুরক্ষা সংস্করণ নির্ধারণ করুন

থাম্বের নিয়ম হিসাবে: যদি আপনি কখনও প্রভাবিত সংস্করণগুলির একটি ইনস্টল করেন এবং TLS সমর্থনের জন্য ওপেনএসএলএল-এর বিরুদ্ধে লিঙ্কযুক্ত প্রোগ্রাম বা পরিষেবাদিগুলি চালান করেন তবে আপনি দুর্বল।

দুর্বলতা পরীক্ষা করার জন্য আমি কোথায় একটি প্রোগ্রাম খুঁজে পেতে পারি?

হার্টব্লিড ঘোষণার কয়েক ঘণ্টার মধ্যে, ইন্টারনেটে অনেকেই জনসাধারণের অ্যাক্সেসযোগ্য ওয়েব অ্যাপ্লিকেশন প্রকাশ করেছিলেন যা অনুমতিক্রমে এই দুর্বলতার উপস্থিতির জন্য একটি সার্ভার পরীক্ষা করতে ব্যবহার করা যেতে পারে। এই লেখার কারণে, আমি কোনও পর্যালোচনা করি নি, তাই আমি তাদের অ্যাপ্লিকেশনগুলিকে আরও প্রকাশ করব না। তারা আপনার পছন্দের সার্চ ইঞ্জিনের সাহায্যে অপেক্ষাকৃত সহজেই পাওয়া যেতে পারে।

কিভাবে এই দুর্বলতা হ্রাস করা হয়?

একটি অ-দুর্বল সংস্করণে আপগ্রেড করুন এবং দুর্বল ডেটা পুনরায় সেট করুন বা পুনরায় সুরক্ষিত করুন। হিসাবে উল্লিখিত হার্টব্লিড সাইট, উপযুক্ত প্রতিক্রিয়া পদক্ষেপ ব্যাপকভাবে হয়:

  1. প্যাচ দুর্বল সিস্টেম।
  2. নতুন ব্যক্তিগত কী পুনর্জন্ম।
  3. আপনার CA তে নতুন সিএসআর জমা দিন।
  4. প্রাপ্ত এবং নতুন স্বাক্ষরিত সার্টিফিকেট ইনস্টল করুন।
  5. অবৈধ সেশন কী এবং কুকি
  6. পাসওয়ার্ড এবং শেয়ার গোপন পুনরায় সেট করুন
  7. পুরানো সার্টিফিকেট বাতিল করুন।

আরো বিস্তারিত বিশ্লেষণ এবং উত্তর জন্য, দেখুন একটি ওয়েবসাইট অপারেটর হার্টব্ল্ড OpenSSL শোষণ সম্পর্কে কি করা উচিত?সিকিউরিটি স্ট্যাক এক্সচেঞ্জে।

আমি কি আমার চাবি বা অন্যান্য ব্যক্তিগত তথ্য হয়েছে উদ্বিগ্ন করা উচিত   আপোস? আমি কি অন্য পার্শ্ব প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন করা উচিত?

একেবারে। সিস্টেম অ্যাডমিনিস্ট্রেটররা প্রয়োজন অনুমান যে তাদের সার্ভারগুলি দুর্বল ওপেনএসএল সংস্করণগুলি ব্যবহার করেছে সেগুলি আসলে আপোস করা হয়েছে এবং সে অনুসারে প্রতিক্রিয়া জানায়।

দুর্বলতা প্রকাশ হওয়ার কিছুদিন পরে ক্লাউডফেয়ার প্রক্রিয়ায় সার্ভারের ব্যক্তিগত কী পুনরুদ্ধার করা যায় কিনা তা দেখার জন্য একটি চ্যালেঞ্জ অফার করেছে। চ্যালেঞ্জ স্বাধীনভাবে ফেডর ইডুটিনি এবং ইল্ক্কা ম্যাটিলা জিতেছিল। দেখ হার্টবলেড চ্যালেঞ্জ

আমি আরও তথ্য কোথায় পাবো?

লিংক ডাম্প, আরো বিস্তারিত জানার জন্য যারা:


প্রকাশ ঘটনা একটি বরং বিস্তারিত সময়রেখা পাওয়া যাবে Heartbleed প্রকাশ সময়সীমা: কে জানত এবং কখন


আপনি যদি একজন প্রোগ্রামার হন এবং OpenSSL এর মাধ্যমে হার্টবেলড আক্রমণ সনাক্ত করার মতো বিভিন্ন প্রোগ্রামিং কৌশলগুলিতে আগ্রহী হন msg_cb কলব্যাক, তারপর OpenSSL এর দেখুন নিরাপত্তা উপদেষ্টা 2014047


118
2018-04-08 04:23



+1 জন্য বন্ধ করুন। নিচে। তোমার. সার্ভার। * - যদি আপনি এমন কিছু করেন যেখানে SSL সত্যিই গুরুত্বপূর্ণ হয়, তবে সমস্যাটি সমাধান না হওয়া পর্যন্ত এটি বন্ধ করুন। এছাড়াও নতুন সার্টিফিকেট ইনস্টল করতে ভুলবেন না (সঙ্গে নতুন কী) আপনার সার্ভারগুলি প্যাচ করার পরে - আপনার পুরাতন কীগুলি পুনরায় ব্যবহার করা (যা আপোস করা হয়েছে) দুর্বলতার প্যাচিংয়ের পুরো উদ্দেশ্যকে হারাতে পারে ... - voretaq7
করাও - ওপেনএসএল লাইব্রেরির সাথে যুক্ত কোনও পরিষেবা পুনরায় চালু করুন। আপনার daemons পুনরায় আরম্ভ না করে ওপেনএসএল আপগ্রেড করা সব ঠিক যেমন আপগ্রেড হিসাবে ভাল। - EEAA
প্রকৃতপক্ষে - যেকোনো ধরনের প্রধান প্যাচ (ওপেনএসএলএর মত) পরে আমি আপনাকে কিছু মিস করবেন না তা নিশ্চিত করার জন্য মেশিনটি পুনরায় বুট করার জন্য এটি একটি ভাল নিয়ম। - voretaq7
পরীক্ষকদের মধ্যে একটি খোলা sourced হয়েছে: github.com/FiloSottile/Heartbleed - Riking
@ ইইএএএ, "আপনার সার্ভার বন্ধ করুন" এর অর্থ এই নয় যে আপনাকে শক্তিটি টানতে হবে। এর মানে শাট ডাউন (অথবা এসএসএল / টিএল নিষ্ক্রিয় করার জন্য পুনর্গঠন) apache, অথবা যা সেবা পরিবেশন করছেন। - psusi


XKCD দ্বারা বাগের একটি সহজ ব্যাখ্যা:

XKCD 1354


42
2018-04-08 07:28





উবুন্টু 12.04, 12.10, এবং 13.10

উবুন্টু জারি করেছে USN-2165-1, যা আপডেট করা প্যাকেজগুলি এখন সংরক্ষণাগারগুলিতে উপলব্ধ রয়েছে। ফিক্স দখল করতে নিম্নলিখিত দুটি কমান্ড চালান।

sudo apt-get update
sudo apt-get upgrade

উবুন্টু 14.04

আমি এই উদ্দেশ্যে স্থাপিত একটি পিপিএতে নতুন রিলিজ (1.0.1 জি) ধারণকারী একটি ডেবিয়ান প্যাকেজ আপলোড করেছি। এই তিনটি কমান্ডগুলি আপনার সিস্টেমে আমার পিপিএ যুক্ত করবে, উপলব্ধ প্যাকেজের তালিকা হালনাগাদ করবে এবং সবকিছু আপগ্রেড করবে:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

দ্রষ্টব্য: পিপিএ এছাড়াও উবুন্টু 12.04 এবং 13.10 এর জন্য প্যাকেজ সরবরাহ করে, যদি আপনি আর্কাইভগুলির প্যাচেড সংস্করণগুলি ব্যবহার করার পরিবর্তে প্রকৃতপক্ষে নতুন সংস্করণ (1.0.1g) চালাতে পছন্দ করেন।

উবুন্টু 10.04

এটি একটি LTS সংস্করণ, সার্ভার সংস্করণ এখনও সমর্থিত এবং নিরাপত্তা আপডেট পায়। কিন্তু হার্টবিহীন দুর্বলতা উবুন্টু 10.04 এর আদর্শ ইনস্টলেশনয়ের openssl প্যাকেজটিকে প্রভাবিত করে না, কারণ সংস্করণ 1.0.1 এর নীচে।

ডেস্কটপ সংস্করণটি জীবনের শেষের দিকে পৌঁছেছে এবং আপগ্রেড / পুনরায় ইনস্টল করার প্রয়োজন।

উবুন্টু 13.04 এবং অন্যান্য পুরনো সংস্করণ

উবুন্টু 13.04 খুব ছোট সাপোর্ট চক্র ছিল যা আপনি আশা করতে পারেন না। এটি ইতিমধ্যেই জীবনের শেষের দিকে পৌঁছেছে এবং নিরাপত্তা আপডেটগুলি আর পাবে না। এটা দীর্ঘ আপগ্রেড করা উচিত। যদি কেউ এটি ব্যবহার করে থাকেন তবে অনুগ্রহ করে এখনই আপগ্রেড করুন, স্ক্র্যাচ থেকে বা এটি সহজ পদ্ধতি অনুসরণ করে 13.10 এ অ-ধ্বংসাত্মক আপগ্রেড করা যেতে পারে: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ আপগ্রেড করার পরে সিস্টেম 13.10 থেকে হৃদয়গ্রাহী প্যাচ পায়।

অন্যান্য সমস্ত পুরানো উবুন্টু সংস্করণগুলির জন্য এটি মূলত একটি তাজা ইনস্টলেশনের অর্থ।

প্যাচ প্রয়োগ করা হয়েছে তা যাচাই করুন

মূলত, চালানো openssl version -a এবং নিশ্চিত করুন যে বিল্ড তারিখটি এপ্রিল 7, ২014 বা তার পরে, কিন্তু আরও দেখুন এখানে

রিবুট

ওপেনএসএসএল-এর উপর নির্ভর করে সব পরিষেবা পুনরায় চালু করা নিশ্চিত করার সর্বোত্তম উপায় পুনরায় বুট করার


36
2018-04-08 10:37



আমি অন্যান্য সংস্করণগুলির জন্য কথা বলতে পারছি না, কিন্তু সুনির্দিষ্ট (12.04) জন্য উপলব্ধ একটি প্যাচ বলে মনে হচ্ছে। যদিও আমি নিশ্চিতভাবে বলতে পারি না যে এটি দুর্বলতাকে সংশোধন করে, তবে কমপক্ষে কমপক্ষে সংঘটিত হওয়ার পরে এটি সংকলিত হয়েছিল।Mon Apr 7 20:31:55 UTC 2014)। - Calrion
@ কালরিন: ওপেনএসএল-এর জন্য প্যাচ ও ওপেনএসএল-এর জন্য ডেবিয়ান প্যাকেজিং? ওপেনএসএল ইতিমধ্যেই সংশোধন করা হয়েছে এবং একটি নতুন রিলিজ জারি করা হয়েছে। - Nathan Osman
openssl আপডেট করা হচ্ছে যখন বিদ্যমান সংযোগ কি হবে? তারা কি বাদ যাবে? - pdeva
এটি আপনি কোন ওয়েব সার্ভারটি ব্যবহার করছেন এবং আপনি কীভাবে আপডেট করছেন তার উপর নির্ভর করে। যে বলা হচ্ছে, আমি বিদ্যমান সংযোগ ড্রপ সম্পর্কে উদ্বিগ্ন হবে না যেহেতু তারা দুর্বল সংস্করণ ব্যবহার করছেন। - Nathan Osman
14.04 তারপর থেকে একটি প্যাচ পেয়েছি। - Seth


রেডহ্যাট 6.5 এবং সেন্টোস 6.5

এই দুর্বল। রেডহ্যাট এর ত্রুটি-বিচ্যুতি RHSA-2014-0376 প্যাচযুক্ত লাইব্রেরি উপলব্ধ আছে, এবং যে কেউ প্রভাবিত প্রথমতম সুযোগ আপগ্রেড করা উচিত বলে।

লেখার সময়, সেন্টসো এখনো একটি নির্দিষ্ট সংস্করণ ছিল না, কিন্তু করণবীর সিংয়ের পোস্টিং সেন্টোসের ঘোষণা! তারা openssl একটি আপডেট সংস্করণ উত্পাদিত হয়েছে বলে যেopenssl-1.0.1e-16.el6_5.4.0.1, শেষ চারটি সংখ্যা উল্লেখ করুন যা শোষণযোগ্য টিএলএস কমান্ড নিষ্ক্রিয় আছে এবং এটি নিরাপদে প্রয়োগ করা যেতে পারে কারণ এটি অবশেষে প্রকাশিত হওয়ার পরে একটি নির্দিষ্ট সংস্করণ দ্বারা ওভাররাইট করা হবে।

অস্থায়ীভাবে নির্ধারিত সংস্করণটি এখনও সমস্ত আয়নাগুলিতে এটি তৈরি করে বলে মনে হচ্ছে না তবে এটি মূল সঞ্চয়স্থানে রয়েছে http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (এবং একইভাবে i686)।

সম্পাদন করা: যেমন ইয়ান বলেছেন, এখন C6.5 এর জন্য সম্পূর্ণরূপে প্যাচযুক্ত সংস্করণ বলে মনে হচ্ছে, এবং মনে হচ্ছে তাড়াতাড়ি করে আয়নাগুলির চারদিকে ধাক্কা দেওয়া হয়েছে। বরাবর yum update আমার সার্ভারের জন্য এটি পেয়েছিলাম; এটা openssl-1.0.1e-16.el6_5.7

6.5 এর আগে আরএইচ 6 এবং সি 6 এর সংস্করণ

এই দুর্বল নয়। অনুসারে Red Hat থেকে এই অ্যাডভাইসারির,

এই সমস্যাটি রেডের সাথে প্রেরিত হিসাবে openssl সংস্করণগুলিকে প্রভাবিত করে না   Hat Enterprise Linux 5 ও Red Hat Enterprise Linux 6.4 এবং পূর্ববর্তী।

করণবীর সিংয়ের পোস্টিং সেন্টোসের ঘোষণা! সংস্করণ সম্পর্কে সমানভাবে পরিষ্কার:

এর আগে আজকের দিনে, আমরা একটি গুরুতর সচেতন করা হয়েছিল   CentOS-6.5 এ প্রেরিত হিসাবে openssl সমস্যা


14
2018-04-08 13:07



নন lists.centos.org/pipermail/centos-announce/2014-April/... ফিক্স মুক্তি? - Iain


ডেবিয়ান হুইজি

ডেবিয়ান ঘোষণা করেছে জেলাকে-2896-1 এবং patched লাইব্রেরি হয় এখানে পাওয়া। একটি শেল স্ক্রিপ্ট হয় এখানে পাওয়া

1. প্যাচ

Apt-get সংগ্রহস্থল আপডেট করা হয়েছিল তাই এখন প্যাচযুক্ত লাইব্রেরিগুলি মাধ্যমে উপলব্ধ apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

বিকল্পরূপে (প্রস্তাবিত নয়) প্যাকেজগুলি ম্যানুয়ালি আপগ্রেড করা যেতে পারে:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. সার্ভার / সেবা পুনরায় আরম্ভ করুন

সেরা সুরক্ষার জন্য সম্পূর্ণ সার্ভারটি পুনরায় চালু করুন অথবা সার্ভার অফলাইন না থাকলে প্রয়োজনীয় পরিষেবাগুলি পুনরায় চালু করুন।

3. OpenSSL সংস্করণ চেক করুন

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



আপনি থেকে আপডেট পেয়ে থাকেন wheezy/security তারপর আপনি ভাল হবে apt-get update && apt-get upgrade। অথবা, শুধুমাত্র প্যাকেজ আপডেট করার জন্য একটি ইন্টারেক্টিভ প্যাকেজ ম্যানেজার ব্যবহার করুন openssl, libssl1.0.0, libssl1.0.0-dbg এবং libssl-dev (আপনার সিস্টেমে ইনস্টল হিসাবে)। - α CVn
apt-get ব্যবহার করে আমার জন্য সমস্যাটি ঠিক করে না - এখনও OpenSSL 1.0.1e 11 ফেব্রুয়ারী 2013 দেখাচ্ছে - user568829
ধন্যবাদ @ মাইকেল-কোজর্লিং, এটি যখন আমি এটি করিনি তখন এটি উপলব্ধ ছিল না, তবে এটি আপগ্রেড করার সবচেয়ে নিরাপদ এবং সঠিক উপায়। - jacksoncage
@ ব্যবহারকারী 568829 প্যাচ প্রয়োগ করার পরে opensl সংস্করণটি এখনও দেখাবে OpenSSL 1.0.1e 11 Feb 2013 প্যাচ হিসাবে 1.0.1e-2 বলা হয়। আপনি সঙ্গে চেক করতে পারেন dpkg -l openssl এবং এটি সংস্করণ প্রদর্শন করা উচিত 1.0.1e-2+deb7u6 - jacksoncage
আমি ওপেনএসএল আপডেট করার পরে হোস্টটি পুনরায় চালু করার পরামর্শ দিই, কারণ এটি কঠোরভাবে প্রয়োজনীয় নয় তবে মন শান্তির জন্য যে অন্তত সবকিছুই নতুন সংস্করণ ব্যবহার করে OpenSSL লাইব্রেরি লোড করে। (স্ট্যাটিক্যাল লিঙ্কটি আরেকটি বিষয়।) এটি বলেছে, আমি স্বীকার করি যে কিছু সার্ভার সহজেই পুনরায় চালু করা যাবে না যেখানে কোনও পরিষেবা পুনঃসূচনা গ্রহণযোগ্য হতে পারে। - α CVn


আমি বলতে চাই যে ব্যক্তিগত কী শুধুমাত্র একমাত্র সম্পদ নয় যা আপোস হিসাবে বিবেচনা করা উচিত। বাগ ফুটো সম্ভাব্য আছে কোন মেমরি একই ঠিকানা স্পেসে (যেমন, একই প্রক্রিয়া) খোলা OpenSSL হিসাবে। অতএব, যদি আপনি কোনও সার্ভার প্রক্রিয়া চালাচ্ছেন যেখানে ওপেনএসএল-এর একটি ঝুঁকিপূর্ণ সংস্করণটি স্ট্যাটিক্যালি বা গতিশীলভাবে লিঙ্কযুক্ত, তথ্য যে কোন প্রক্রিয়া যে প্রক্রিয়া কখনও পরিচালিত হয়েছে, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর, এবং অন্যান্য ব্যক্তিগত তথ্য সহ, সম্ভাব্য আপোস করা উচিত।


9
2018-04-08 20:23





ফ্রিবিএসডি 10.0 অথবা OpenSSL বন্দর থেকে

দ্য ফ্রিবিএসডি নিরাপত্তা দল সিভি-2014-0160 (উকিল "হার্টবলেড") সম্পর্কিত একটি উপদেষ্টা জারি করেছে এবং: FreeBSD 'র-এসএ-14: 06.openssl

  1. FreeBSD আপডেট করা হচ্ছে

    • একটি বাইনারি প্যাচ মাধ্যমে FreeBSD আপডেট

      সিস্টেম একটি চলমান রিলিজ সংস্করণ উপর FreeBSD এর মধ্যে i386 অথবা AMD64 প্ল্যাটফর্মগুলি freebsd-update (8) ইউটিলিটির মাধ্যমে আপডেট করা যেতে পারে:

      # freebsd-update fetch
      # freebsd-update install
      
    • উত্স থেকে FreeBSD আপডেট করা হচ্ছে

      1. নীচের অবস্থান থেকে প্রাসঙ্গিক প্যাচ ডাউনলোড করুন, এবং যাচাই করুন আপনার পিজিপি ইউটিলিটি ব্যবহার করে বিচ্ছিন্ন পিজিপি স্বাক্ষর।

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. রুট হিসাবে নিম্নলিখিত কমান্ডটি চালান:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. অপারেটিং সিস্টেম পুনরায় কম্পাইল

        ব্যবহার buildworld এবং installworld হিসাবে বর্ণিত FreeBSD হ্যান্ডবুক

  2. আপডেট করুন OpenSSL ন্যূনতম সংস্করণ সঙ্গে পোর্ট 1.0.1_10

  3. লাইব্রেরী ব্যবহার করে সকল ডেমন পুনরায় চালু করুন অথবা সিস্টেমটি পুনরায় বুট করুন

  4. আপনার সিস্টেমের সাথে আপোস করা হয়েছে এমন আচরণ করুন, আপনার সমস্ত SSL কী এবং / অথবা সার্টিফিকেটগুলি পুনরায় প্রকাশ করুন এবং সম্ভাব্য লিঙ্কে থাকা তথ্য (দেখুন EEAA আরো সাধারণ উত্তর)।

FreeBSD 9.x এবং FreeBSD 8.x

এই সিস্টেম হয় দুর্বল নয় যাও হার্টব্লিড ডিফল্টরূপে সমস্যা, পুরানো 0.9.x সংস্করণ উপর নির্ভর করে OpenSSL গ্রন্থাগার, যদি না আপনি ইনস্টল OpenSSL  বন্দর থেকে (উপরে দেখুন)।

যদি এই সিস্টেমের ঝুঁকিপূর্ণ হয় না হার্টব্লিড সমস্যা, অন্যের কারণে পরে আপনার সিস্টেমে আপগ্রেড করা বিজ্ঞতার সাথে হতে পারে স্থানীয় দুর্বলতা (দেখুন FreeBSD 'র-এসএ-14: 06.openssl এবং "ফ্রিবিডিডি 10.0" অধ্যায় উপরে):

একটি স্থানীয় আক্রমণকারী একটি সাইনিং প্রক্রিয়া snoop করতে সক্ষম হতে পারে এবং পুনরুদ্ধার করতে পারে   এটা থেকে সাইনিং কি। [জন্য CVE-2014-0076]

বিঃদ্রঃ:

মূল হার্টব্লিড অ্যাডভাইসারির তালিকাগুলি ফ্রিবিএসডি 8.4 এবং 9.1 সম্ভাব্যভাবে দুর্বল। এই অভাব কারণে সত্য নয় হার্টবিট এক্সটেনশান (ডিফল্ট ফ্রিBSD openssl লাইব্রেরি সংস্করণ 0.9.x হচ্ছে)।


9
2018-04-11 08:03