सबसे पहले , बाहर निकलने से पहले , सुनिश्चित करें कि आप समझते हैं कि यह भेद्यता वास्तव में आप पर लागू होती है या नहीं। यदि आपके पास एक सर्वर है, लेकिन वास्तव में टीएलएस का उपयोग करने वाला कोई भी एप्लिकेशन नहीं है, तो आपके लिए यह एक उच्च प्राथमिकता वाली चीज नहीं है। यदि, दूसरी ओर, आपके पास कभी टीएलएस-सक्षम अनुप्रयोग होते हैं, तो ठीक है कि आप एक इलाज के लिए हैं। पढ़ते रहिये:
वास्तव में CVE-2014-0160 उर्फ "हार्दिक" क्या है?
यह बहुत बड़ी गड़बड़ है, बस यही है। संक्षेप में, ओपनएसएसएल संस्करणों 1.0.1 के माध्यम से 1.0.1f के माध्यम से एक दूरस्थ रूप से शोषक भेद्यता की खोज की गई थी, जिसके माध्यम से एक हमलावर सिस्टम मेमोरी के कुछ हिस्सों को पढ़ सकता है। उन हिस्सों को जो संवेदनशील डेटा जैसे कि निजी कुंजी, प्रिज़र्ड कीज़, पासवर्ड और उच्च मूल्यवान कॉर्पोरेट डेटा को अन्य चीजों के बीच रखते हैं।
बग को स्वतंत्र रूप से Google सुरक्षा (21 मार्च, 2014) के नील मेहता और फिनिश आईटी सुरक्षा परीक्षण फर्म कोडेनोमिकॉन (2 अप्रैल, 2014) द्वारा खोजा गया था।
कारण क्या है?
खैर, ओपनएसएसएल में गलत कोड। यहाँ वह कमिटमेंट है जिसने भेद्यता को पेश किया है, और यहाँ वह कमिटमेंट है जो भेद्यता को निर्धारित करता है। बग 2011 के दिसंबर में दिखा और आज, 7 अप्रैल 2014 को पैच किया गया।
बग को एक बड़ी समस्या के लक्षण के रूप में भी देखा जा सकता है। दो संबंधित समस्याएं हैं (1) गलत कोड सुनिश्चित करने के लिए कौन सी प्रक्रिया होती है, एक कोड आधार से शुरू नहीं किया जाता है, और (2) प्रोटोकॉल और एक्सटेंशन इतने जटिल और कठिन परीक्षण क्यों हैं। आइटम (1) OpenSSL और कई अन्य परियोजनाओं के साथ एक शासन और प्रक्रिया का मुद्दा है। कई डेवलपर्स बस कोड की समीक्षा, विश्लेषण और स्कैनिंग जैसी प्रथाओं का विरोध करते हैं। आइटम (2) पर IETF के TLS WG पर चर्चा की जा रही है। हार्दिक / प्रोटोकॉल जटिलता देखें ।
क्या गलत कोड गलत तरीके से डाला गया था?
मैं इस बात पर अटकल नहीं लगाऊंगा कि यह वास्तव में एक गलती थी या संभवतः एक बुरे अभिनेता की ओर से थोड़ा सा कोड फिसल गया। हालाँकि, OpenSSL के लिए कोड विकसित करने वाला व्यक्ति यह बताता है कि वह अनजाने में था। देखें मैन जिन्होंने गंभीर 'हार्दिक' सुरक्षा दोष का परिचय दिया, उन्होंने इनकार किया कि उन्होंने इसे जानबूझकर डाला ।
ओपनएसएसएल के कौन से ओएस और संस्करण असुरक्षित हैं?
जैसा कि ऊपर उल्लेख किया गया है, कोई भी ऑपरेटिंग सिस्टम जो प्रयोग कर रहा है, या एप्लिकेशन जो OpenSSL 1.0.1 के माध्यम से 1.0.1f से जुड़ा हुआ है।
लक्षण क्या हैं, एक सफल शोषण का पता लगाने के लिए कोई भी तरीके हैं?
यह डरावना हिस्सा है। जहां तक हम जानते हैं, यह पता लगाने का कोई ज्ञात तरीका नहीं है कि इस भेद्यता का दोहन किया गया है या नहीं। यह सैद्धांतिक रूप से संभव है कि आईडीएस हस्ताक्षर जल्द ही जारी किए जाएंगे जो इस शोषण का पता लगा सकते हैं, लेकिन इस लेखन के रूप में, वे उपलब्ध नहीं हैं।
इस बात के प्रमाण हैं कि हार्टलेड का नवंबर, 2013 की शुरुआत में जंगल में सक्रिय रूप से शोषण किया जा रहा था। ईएफएफ के वाइल्ड एट हार्ट: नवंबर 2013 में हार्टलेड का उपयोग करते हुए खुफिया एजेंसियों का पता लगाया गया था? और ब्लूमबर्ग ने रिपोर्ट की कि भेद्यता शुरू होने के कुछ समय बाद ही एनएसए ने शोषण को हथियार बना लिया था। देखें साल के लिए खुफिया के लिए Heartbleed बग शोषण करने के लिए एनएसए ने कहा । हालांकि, यूएस इंटेलिजेंस कम्युनिटी ने ब्लूमबर्ग के दावों को नकार दिया है। रिकॉर्ड को देखें ।
मैं यह देखने के लिए कैसे जांच कर सकता हूं कि मेरा सिस्टम प्रभावित है या नहीं?
यदि आप अपने सिस्टम पर OpenSSL का रखरखाव कर रहे हैं, तो आप बस जारी कर सकते हैं openssl version
:
$ openssl version
OpenSSL 1.0.1g 7 Apr 2014
यदि वितरण OpenSSL को बनाए रखने की है, तो आप शायद OpenSSL के संस्करण को वापस का उपयोग कर पैचिंग के कारण निर्धारित नहीं कर सकता openssl
आदेश या पैकेज जानकारी (उदाहरण के लिए, apt-get
, dpkg
, yum
या rpm
)। अधिकांश (सभी?) वितरणों द्वारा उपयोग की जाने वाली बैक पैचिंग प्रक्रिया केवल आधार संस्करण संख्या (उदाहरण के लिए, "1.0.1e") का उपयोग करती है; और एक प्रभावी सुरक्षा संस्करण शामिल नहीं है (उदाहरण के लिए, "1.0.1g")।
पैकेज के बैकपैक किए जाने पर ओपनएसएसएल और अन्य पैकेजों के लिए प्रभावी सुरक्षा संस्करण का निर्धारण करने के लिए सुपर उपयोगकर्ता पर एक खुला प्रश्न है। दुर्भाग्य से, कोई उपयोगी उत्तर नहीं हैं (डिस्ट्रो की वेबसाइट की जांच के अलावा)। देखें निर्धारित प्रभावी सुरक्षा संस्करण जब Backpatching का सामना करना पड़ ।
अंगूठे के एक नियम के रूप में: यदि आपने कभी प्रभावित संस्करणों में से एक को स्थापित किया है, और कभी भी ऐसे प्रोग्राम या सेवाएं चला रहे हैं जो टीएलएस समर्थन के लिए ओपनएसएसएल के खिलाफ जुड़े हैं, तो आप कमजोर हैं।
मुझे भेद्यता के लिए परीक्षण करने के लिए एक कार्यक्रम कहां मिल सकता है?
हार्दिक घोषणा के कुछ घंटों के भीतर, इंटरनेट पर कई लोगों ने सार्वजनिक रूप से सुलभ वेब अनुप्रयोगों को प्रचारित किया था जो कि इस भेद्यता की उपस्थिति के लिए सर्वर की जांच करने के लिए उपयोग किए जा सकते थे। इस लेखन के रूप में, मैंने किसी की समीक्षा नहीं की है, इसलिए मैं उनके अनुप्रयोगों को आगे प्रचारित नहीं करूंगा। वे आपके पसंदीदा खोज इंजन की सहायता से अपेक्षाकृत आसानी से पाए जा सकते हैं।
इस भेद्यता को कैसे कम किया जाता है?
एक गैर-असुरक्षित संस्करण पर अपग्रेड करें और असुरक्षित डेटा को रीसेट या फिर से सुरक्षित करें। जैसा कि हार्टबल साइट पर लिखा गया है , उचित प्रतिक्रिया के कदम मोटे तौर पर हैं:
- पैच कमजोर सिस्टम।
- नई निजी कुंजियों को पुन: बनाएँ।
- अपने सीए को नया सीएसआर जमा करें।
- नया हस्ताक्षरित प्रमाणपत्र प्राप्त करें और स्थापित करें।
- सत्र कुंजियाँ और कुकीज़ अमान्य करें
- पासवर्ड और साझा किए गए रहस्यों को रीसेट करें
- पुराने प्रमाण पत्रों को निरस्त करें।
अधिक विस्तृत विश्लेषण और उत्तर के लिए, देखें कि हार्टलेड ओपनएसएसएल कारनामे के बारे में एक वेबसाइट ऑपरेटर को क्या करना चाहिए? सुरक्षा स्टैक एक्सचेंज पर।
क्या मुझे चिंतित होना चाहिए कि मेरी कुंजी या अन्य निजी डेटा से समझौता किया गया है? मुझे किन अन्य दुष्प्रभावों के बारे में चिंतित होना चाहिए?
पूर्ण रूप से। सिस्टम एडमिनिस्ट्रेटर को यह मानने की जरूरत है कि उनके सर्वर जो असुरक्षित ओपनएसएसएल संस्करणों का उपयोग करते थे, वे वास्तव में समझौता करते हैं और तदनुसार प्रतिक्रिया करते हैं।
भेद्यता का खुलासा होने के तुरंत बाद, क्लाउडफ़ ने एक चुनौती पेश की कि क्या सर्वर की निजी कुंजी को व्यवहार में पुनर्प्राप्त किया जा सकता है। चुनौती को स्वतंत्र रूप से फेडर इंडटनी और इल्का मटिला ने जीता। देखें Heartbleed चैलेंज ।
मुझे अधिक जानकारी कहां से मिल सकती है?
लिंक डंप, अधिक जानकारी के लिए देख रहे लोगों के लिए:
प्रकटीकरण घटनाओं की एक विस्तृत समयरेखा हार्टलेड प्रकटीकरण समयरेखा पर पाई जा सकती है : कौन क्या और कब जानता था ।
यदि आप एक प्रोग्रामर हैं और विभिन्न प्रोग्रामिंग ट्रिक्स में रुचि रखते हैं, जैसे ओपनएसएसएल के msg_cb
कॉलबैक के माध्यम से हार्टबल हमले का पता लगाने के लिए , तो ओपनएसएसएल की सुरक्षा सलाहकार 2014047 देखें ।