ओपनएसएसएल में हार्टलेड बग (CVE-2014-0160) को कैसे पैच करें?


152

आज तक, ओपनएसएसएल में एक बग (समावेशी) के 1.0.1माध्यम से संस्करणों को प्रभावित करते हुए पाया गया है ।1.0.1f1.0.2-beta

Ubuntu 12.04 के बाद से, हम सभी इस बग के प्रति संवेदनशील हैं। इस भेद्यता को पैच करने के लिए, प्रभावित उपयोगकर्ताओं को ओपनएसएसएल को अपडेट करना चाहिए 1.0.1g

हर प्रभावित उपयोगकर्ता इस अद्यतन को अब कैसे लागू कर सकता है ?


क्या आपके पास ओप्सनल का एक प्रभावित संस्करण है?
ब्रिअम

मुझे पैच किया गया संस्करण 1.0.1-4ubuntu5.12 मिल गया है और मैंने अपाचे सेवा को फिर से शुरू कर दिया है, लेकिन filippo.io/ मेरी साइट पर परीक्षण किया गया है फिर भी कहता है कि मैं असुरक्षित हूं कोई भी विचार क्यों?

1
@ मुझे पता नहीं है कि उस साइट का परीक्षण क्या है, लेकिन शायद यह पता लगाता है कि आप एक पुरानी कुंजी का उपयोग कर रहे हैं। चूंकि कुंजी लीक हो गई है, इसलिए आपको इसे फिर से बनाने की आवश्यकता है।
गाइल्स

1
आप वास्तव में ओपनएसएसएल को नए संस्करणों में अपडेट नहीं करना चाहते हैं, यह एक अविश्वसनीय दर्द है। बहुत आसान है बस उस अपडेट किए गए पैकेज को स्थापित करना है जो इस समस्या को हल करता है: ubuntu.com/usn/usn-2165-1
sarnold

क्या आपने अपग्रेड करने के बाद अपनी सेवाओं को फिर से शुरू किया है?
एक्सल

जवाबों:


141

सुरक्षा अद्यतन 12.04, 12.10, 13.10 और 14.04 के लिए उबंटू सुरक्षा सूचना USN-2165-1 देखें

इसलिए पहले आपको उपलब्ध सुरक्षा अपडेट को लागू करना होगा, उदाहरण के लिए रनिंग

sudo apt-get update
sudo apt-get upgrade

कमांड लाइन से।

प्रभावित OpenSSL संस्करण का उपयोग करने वाली सेवाओं (HTTP, SMTP, आदि) को पुनरारंभ करना न भूलें , अन्यथा आप अभी भी असुरक्षित हैं। इसे भी देखें : क्या है और इसे कम करने के लिए क्या विकल्प हैं? Serverfault.com पर।

निम्न आदेश दिखाता है (नवीनीकरण के बाद) सभी सेवाओं को पुनरारंभ करने की आवश्यकता है:

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

उसके बाद, आपको सभी सर्वर एसएसएल कुंजियों को फिर से बनाने की आवश्यकता है , फिर मूल्यांकन करें कि क्या आपकी कुंजी लीक हो सकती है, जिस स्थिति में हमलावरों ने आपके सर्वर से गोपनीय जानकारी प्राप्त की हो सकती है।


23
यह सुनिश्चित नहीं है कि यह Ubuntu 12.04.4 LTS पर काम करता है। पूर्ण अद्यतन के बाद, openssl versionदेता है OpenSSL 1.0.1 14 Mar 2012। यह समझौता संस्करण नहीं है, है ना? या मैं इसे गलत बता रहा हूं?
पॉल कैंटरेल

7
Ubuntu 13.04 के साथ क्या करना है? कोई अपग्रेडेड
ओपनसेल

20
Ubuntu 12.04 पर भी निश्चित OpenSSL संस्करण प्रदर्शित करता है 1.0.1 14 Mar 2012। यह पता लगाने के लिए कि आपके इंस्टॉलेशन में फिक्स शामिल है या नहीं, क्रिमी का उत्तर पढ़ें ।
डैन

7
धन्यवाद, @dan! यहाँ @ crimi के उत्तर dpkg -l | grep ' openssl 'को 1.0.1-4ubuntu5.12फिर से शुरू करना : यदि आप चलाते हैं और आपको मिलता है तो आप जाने के लिए अच्छे हैं।
पॉल कैंटरेल

20
पैचिंग और रीस्टार्ट करना पर्याप्त नहीं है। आपको कुंजियों को पुन: बनाने और यह आकलन करने की आवश्यकता है कि क्या आपकी कुंजी के साथ-साथ अन्य गोपनीय सामग्री भी लीक हो गई है। उदाहरण के लिए देखें क्या हर एसएसएल सर्वर के लिए हार्दिक के नए प्रमाणपत्र का मतलब है?
गाइल्स

71

बग को हार्टलेड के रूप में जाना जाता है ।

क्या मैं असुरक्षित हूं?

आम तौर पर, यदि आप कुछ सर्वर चलाते हैं जो आपने SSL कुंजी को किसी बिंदु पर चलाया है, तो आप प्रभावित होते हैं। अधिकांश अंत-उपयोगकर्ता प्रभावित (सीधे) नहीं हैं; कम से कम फ़ायरफ़ॉक्स और क्रोम ओपनएसएसएल का उपयोग नहीं करते हैं। SSH प्रभावित नहीं है। उबंटू संकुल का वितरण प्रभावित नहीं है (यह GPG हस्ताक्षर पर निर्भर करता है)।

यदि आप किसी भी प्रकार का सर्वर चलाते हैं जो OpenSSL संस्करणों 1.0-1.0.1f (बग की खोज के बाद पैच किए गए कोर्स संस्करणों को छोड़कर) का उपयोग करता है, तो आप असुरक्षित हैं। प्रभावित उबंटू संस्करण 14.04 भरोसेमंद पूर्व-रिलीज़ के माध्यम से 11.10 एकिरिक हैं। यह एक कार्यान्वयन बग है, प्रोटोकॉल में कोई दोष नहीं है, इसलिए केवल ओपनएसएसएल पुस्तकालय का उपयोग करने वाले कार्यक्रम प्रभावित होते हैं। यदि आपके पास OpenSSL के पुराने 0.9.x संस्करण से जुड़ा कोई कार्यक्रम है, तो यह प्रभावित नहीं होता है। केवल प्रोग्राम जो एसएसएल प्रोटोकॉल को लागू करने के लिए ओपनएसएसएल लाइब्रेरी का उपयोग करते हैं, वे प्रभावित होते हैं; अन्य चीजों के लिए OpenSSL का उपयोग करने वाले प्रोग्राम प्रभावित नहीं होते हैं।

यदि आप इंटरनेट के संपर्क में आने वाला एक कमजोर सर्वर चलाते हैं, तो समझौता करें जब तक कि आपके लॉग 2014-04-07 की घोषणा के बाद से कोई कनेक्शन नहीं दिखाते। (यह मानता है कि इसकी घोषणा से पहले भेद्यता का दोहन नहीं किया गया था।) यदि आपके सर्वर को केवल आंतरिक रूप से उजागर किया गया था, तो क्या आपको चाबियाँ बदलने की आवश्यकता है जो इस बात पर निर्भर करेगा कि अन्य सुरक्षा उपाय क्या हैं।

प्रभाव क्या है?

बग किसी भी क्लाइंट को अनुमति देता है जो सर्वर से 64kB मेमोरी को पुनः प्राप्त करने के लिए आपके एसएसएल सर्वर से जुड़ सकता है। ग्राहक को किसी भी तरह से प्रमाणित करने की आवश्यकता नहीं है। हमले को दोहराने से, ग्राहक क्रमिक प्रयासों में मेमोरी के विभिन्न हिस्सों को डंप कर सकता है।

हमलावरों को पुनर्प्राप्त करने में सक्षम हो सकने वाले डेटा के महत्वपूर्ण टुकड़ों में से एक सर्वर की एसएसएल निजी कुंजी है। इस डेटा के साथ, हमलावर आपके सर्वर को प्रतिरूपित कर सकता है।

मैं एक सर्वर पर कैसे ठीक हो सकता हूं?

  1. सभी प्रभावित सर्वरों को ऑफ़लाइन ले जाएं। जब तक वे चल रहे हैं, वे संभावित रूप से महत्वपूर्ण डेटा लीक कर रहे हैं।

  2. libssl1.0.0पैकेज को अपग्रेड करें , और सुनिश्चित करें कि सभी प्रभावित सर्वर पुनः आरंभ हो।
    आप जांच सकते हैं कि क्या प्रभावित प्रक्रियाएं अभी भी `` grep 'libssl के साथ चल रही हैं। (हटाए गए) '/ proc / / मैप्स'

  3. नई कुंजी उत्पन्न करें । यह आवश्यक है क्योंकि बग ने हमलावर को पुरानी निजी कुंजी प्राप्त करने की अनुमति दी हो सकती है। उसी प्रक्रिया का पालन करें जिसे आपने शुरू में इस्तेमाल किया था।

    • यदि आप एक प्रमाणीकरण प्राधिकारी द्वारा हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो अपने सीए को अपनी नई सार्वजनिक कुंजी जमा करें। जब आप नया प्रमाणपत्र प्राप्त करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
    • यदि आप स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
    • किसी भी तरह से, पुरानी कुंजियों और प्रमाणपत्रों को बाहर ले जाएं (लेकिन उन्हें हटाएं नहीं, बस यह सुनिश्चित करें कि उन्हें कोई और उपयोग नहीं किया जा रहा है)।
  4. अब जब आपके पास नई असंबद्ध कुंजी है, तो आप अपने सर्वर को ऑनलाइन वापस ला सकते हैं

  5. पुराने प्रमाण पत्रों को निरस्त करें

  6. नुकसान का आकलन : किसी भी डेटा जो एसएसएल कनेक्शन की सेवा करने की प्रक्रिया की स्मृति में रहा है, संभवतः लीक हो सकता है। इसमें उपयोगकर्ता पासवर्ड और अन्य गोपनीय डेटा शामिल हो सकते हैं। आपको यह मूल्यांकन करने की आवश्यकता है कि यह डेटा क्या हो सकता है।

    • यदि आप एक ऐसी सेवा चला रहे हैं जो पासवर्ड प्रमाणीकरण की अनुमति देती है, तो उन उपयोगकर्ताओं के पासवर्ड, जो भेद्यता की घोषणा से थोड़ा पहले जुड़े थे, को समझौता माना जाना चाहिए। (थोड़ा पहले, क्योंकि पासवर्ड कुछ समय के लिए मेमोरी में अप्रयुक्त रह सकता है।) अपने लॉग की जांच करें और किसी भी प्रभावित उपयोगकर्ता के पासवर्ड को बदल दें।
    • सभी सत्र कुकीज़ को भी अमान्य कर दें, क्योंकि वे समझौता कर सकते थे।
    • ग्राहक प्रमाणपत्रों से समझौता नहीं किया जाता है।
    • कोई भी डेटा जो भेद्यता से थोड़ा पहले से एक्सचेंज किया गया था, वह सर्वर की मेमोरी में बना रह सकता है और इसलिए किसी हमलावर को लीक किया गया हो सकता है।
    • यदि किसी ने एक पुराने एसएसएल कनेक्शन को रिकॉर्ड किया है और आपके सर्वर की कुंजियों को फिर से प्राप्त किया है, तो वे अब अपने ट्रांसक्रिप्ट को डिक्रिप्ट कर सकते हैं। (जब तक कि पीएफएस सुनिश्चित नहीं किया गया था - यदि आप नहीं जानते हैं, तो यह नहीं था।)

मैं एक ग्राहक पर कैसे ठीक हो सकता हूं?

केवल कुछ ही स्थितियां हैं जिनमें क्लाइंट एप्लिकेशन प्रभावित होते हैं। सर्वर साइड में समस्या यह है कि कोई भी सर्वर से जुड़ सकता है और बग का फायदा उठा सकता है। क्लाइंट का शोषण करने के लिए, तीन शर्तों को पूरा करना होगा:

  • SSL प्रोटोकॉल को कार्यान्वित करने के लिए क्लाइंट प्रोग्राम ने एक छोटी सी वर्जन OpenSSL लाइब्रेरी का उपयोग किया।
  • एक दुर्भावनापूर्ण सर्वर से जुड़ा क्लाइंट। (उदाहरण के लिए, यदि आप किसी ईमेल प्रदाता से जुड़े हैं, तो यह चिंता का विषय नहीं है।) सर्वर के मालिक की भेद्यता से अवगत होने के बाद ऐसा होना था, इसलिए संभवतः 2014-04-07 के बाद।
  • क्लाइंट प्रक्रिया में स्मृति में गोपनीय डेटा था जो सर्वर के साथ साझा नहीं किया गया था। (इसलिए यदि आप केवल wgetएक फ़ाइल डाउनलोड करने के लिए दौड़े , तो लीक करने के लिए कोई डेटा नहीं था।)

यदि आपने 2014-04-07 की शाम के बीच UTC और अपनी ओपनएसएसएल लाइब्रेरी को अपग्रेड किया है, तो किसी भी डेटा पर विचार करें जो क्लाइंट प्रक्रिया की मेमोरी में समझौता करने के लिए था।

संदर्भ


4
मेरा मानना ​​है कि "एसएसएल / टीएलएस कनेक्शन का केवल सर्वर पक्ष प्रभावित होता है" सच है। opensl.org/news/secadv_20140407.txt का कहना है कि यह ग्राहक या सर्वर से रहस्यों को उजागर कर सकता है। ubuntu.com/usn/usn-2165-1 सहमत हैं। दुर्भावनापूर्ण सर्वर से कनेक्ट करते समय आप क्लाइंट प्रमाणपत्र का उपयोग कर रहे हैं, लेकिन संभावना मौजूद है।
आर्ब

@ वर्ब आप एक अच्छी बात करते हैं। इससे कोई फर्क नहीं पड़ता कि क्लाइंट सर्टिफिकेट का उपयोग किया जाता है या नहीं, सर्टिफिकेट के उपयोग के लिए डेटा लीकेज असंबंधित है। मैंने पेशेवरों की मदद ली है
गाइल्स

क्लाइंट सर्टिफिकेट ऐसा मामला है, जहां आप निजी कुंजी को लीक करेंगे, लेकिन हां, पासवर्ड, प्राधिकरण कुकीज़ आदि वैसे भी लीक हो सकते हैं। हालाँकि, एक ओपनएसएसएल आधारित क्लाइंट जैसे कर्ल या विशिष्ट उपयोग में छूट के साथ, आपके पास दुर्भावनापूर्ण सर्वर से कनेक्ट करते समय स्मृति में अन्य साइटों के लिए रहस्य नहीं होंगे, इसलिए उस स्थिति में मुझे लगता है कि केवल रिसाव ही होगा यदि आपने क्लाइंट रहस्य दिए हैं एक वैध साइट पर उन्हें देने की आशंका, और सर्टिफिकेट सत्यापन से पहले हार्टलेक ने उन्हें लीक कर दिया, जिससे पता चलता है कि आप सही साइट से नहीं जुड़े हैं।
आर्ब

1
@ गिल्स आपको उन जवाबों में दिलचस्पी हो सकती है जो क्लाइंट हार्टबेल्ड के लिए कमजोर साबित होते हैं? । मैं nginx (प्रॉक्सी मोड), wget, लिंक और अन्य पर "दिलचस्प" मेमोरी हासिल करने में कामयाब रहा।
लेकेनस्टाइन

1
@ MuhamedHuseinbašić पैकेज opensslमें कमांड लाइन टूल हैं। यह एसएसएल प्रोटोकॉल (जैसे अपाचे) को लागू करने के लिए ओपनएसएसएल लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों द्वारा उपयोग नहीं किया जाता है। लेकिन आपको बस वितरण के सुरक्षा अपडेट को लागू करना चाहिए।
गाइल्स

40

यह देखने के लिए कि कौन सा ओपनएसएसएल संस्करण उबंटू रन पर स्थापित है:

dpkg -l | grep openssl

यदि आप निम्न संस्करण आउटपुट देखते हैं, तो CVE-2014-0160 के लिए पैच को शामिल किया जाना चाहिए।

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

Https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 को देखते हुए , यह दिखाता है कि किस तरह के कीड़े तय हैं:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

2
मैंने उन्नत किया है और संस्करण 5.12 प्राप्त कर रहा है, लेकिन यह टूल अभी भी मुझे बताता है कि मैं असुरक्षित filippo.io/Heartbleed विचार हूं ?
टॉक्सिक

3
मैंने इस तरफ हमारे अपडेटेड सर्वर का परीक्षण किया है और इसने मुझे बताया कि मैं प्रभावित नहीं हूं। क्या आपने अपने सिस्टम को रिबूट किया, या कम से कम क्या आप सुनिश्चित हैं कि सभी आवश्यक प्रक्रियाओं को फिर से शुरू किया गया है?
crimi

3
OPENSSL को अपडेट करने के बाद, मुझे अपाचे सेवा को फिर से शुरू करना था, लेकिन कृपालु ने मदद नहीं की । मुझे जाना था और उपयोग करके पुनः आरंभ करना थाsudo service apache2 restart
टॉम हर्ट

1
मुझे सिर्फ अपनी भेद्यता का कारण मिला: मैंने मॉड-स्पडी-बीटा स्थापित किया था। इसे हटाने और अपाचे को पुनरारंभ करने के बाद सभी परीक्षण अब हरे हैं।
एंड्रियास रोथ

3
opensslअपाचे, निग्नेक्स या पोस्टफिक्स जैसे एप्लिकेशन को अपडेट करना ठीक नहीं है। आपको libssl1.0.0अन्य पोस्ट में बताए अनुसार उन्हें अपडेट और रिस्टार्ट करना होगा।
tnj

17

यदि आपके उपयुक्त-रिपॉजिटरी में कोई पूर्वनिर्धारित 1.0.1g ओपनएसएसएल संस्करण नहीं है, तो बस आधिकारिक वेबसाइट से स्रोतों को डाउनलोड करें और इसका अनुपालन करें।

अंतिम ओपनसेल संस्करण को संकलित करने और स्थापित करने के लिए एकल कमांड लाइन के नीचे।

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

सिम्पलिंक के माध्यम से पुराने ओपनसेल बाइनरी फाइल को नए द्वारा बदलें।

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

आप सभी अच्छे हैं!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

इस ब्लॉग पोस्ट को Cf करें ।

NB: जैसा कि ब्लॉग पोस्ट में कहा गया है, यह वर्कअराउंड "Nginx और Apache सर्वर को ठीक नहीं करेगा, जिन्हें 1.0.1g ओपनएसएसएल स्रोतों के साथ recompile किया जाना है।"


2
जैसा कि आम तौर पर उबंटू नया अपस्ट्रीम संस्करण प्रदान नहीं करता है, लेकिन परिवर्तनों को न्यूनतम रखने के लिए सभी समर्थित रिलीज़ के लिए संस्करणों को पैच किया जाता है।
फ्लोरियन डिस्च

1
नोट: सुनिश्चित करें कि आप OpenSSL को अपडेट करने के बाद अपने सर्वर को पुनरारंभ करें। अपाचे और नग्नेक्स ने नया काम किया और भेद्यता को बंद कर दिया गया।
dAngelov

6
हे, अब जब मैं इस पोस्टिंग के विवरणों को पढ़ने के लिए समय लेता हूं , तो मैं और भी सहमत हूं - इंटरनेट से कुछ यादृच्छिक जगह से एक टारबॉल डाउनलोड करना, इसे अनपैक करना और इसके कुछ हिस्सों को रूट के रूप में निष्पादित करना सिर्फ लापरवाह व्यवहार है। यह थोड़ा बेहतर होगा यदि टारबॉल हस्ताक्षर डाउनलोड और जाँच किए गए हैं, लेकिन यह सुनिश्चित करना कि आप हस्ताक्षर को सत्यापित करते हैं कि सही कुंजी पर हस्ताक्षर किए गए थे, अपने आप में एक कठिन प्रश्न है। वितरण पहले से ही टारबॉल और पैच की सुरक्षित सिद्धता सुनिश्चित करने के प्रयास में चले गए हैं। धन्यवाद।
सरनॉल्ड

2
यह अब स्रोत से संकलन करने के लिए एक अच्छा विचार हो सकता है, और उपयुक्त से बाद में एक नया स्थापित कर सकता है, इस तरह अपने ubuntu के पुराने संस्करणों पर बिना किसी उम्मीद के बस मेरे दो सेंट
nwgat

2
@sarnold opensl.org ओपनसेल के लिए स्रोत को डाउनलोड करने के लिए एक यादृच्छिक स्थान की तरह नहीं लगता है। कैनोनिकल को यह अनावश्यक बनाना चाहिए, लेकिन इससे काम करने के लिए आधिकारिक वेबसाइट upsl.org होनी चाहिए।
रुस्तवोर

12

उन लोगों के लिए जो एक सर्वरवाइड पैकेज अपग्रेड नहीं करना चाहते हैं। मैंने आज इन गाइडों का एक गुच्छा पढ़ा और apt-get upgrade openssl=== apt-get upgradeयह आपकी मशीन द्वारा आवश्यक सभी सुरक्षा सुधारों को लागू करेगा। अद्भुत, जब तक आप स्पष्ट रूप से एक पुराने पैकेज संस्करण पर कहीं झुक रहे हैं।

यह अपाचे 2 चलाने वाले Ubuntu 12.04 LTS पर आवश्यक न्यूनतम कार्रवाई है:

  • इस पते पर जाएं और साबित करें कि आपके पास भेद्यता है। आपको अपने वेब सर्वर के प्रत्यक्ष बाहरी विज्ञापन का उपयोग करना चाहिए। यदि आप एक लोडबेलर का उपयोग करते हैं (उदाहरण के लिए ईएलबी) तो आप सीधे अपने वेब सर्वर से संपर्क नहीं कर सकते हैं।

  • पैकेजों को अपग्रेड करने और पुनरारंभ करने के लिए निम्नलिखित 1 लाइनर चलाएं। हां, मैंने सभी गाइडों को यह कहते हुए देखा कि आपके पास 4 अप्रैल 2014 की तुलना में बाद में टाइमस्टैम्प होना चाहिए, ऐसा मुझे नहीं लगता।

    apt-get update && apt-get install खुलता है libsl1.0.0 && /etc/init.d/apache2 पुनरारंभ

  • सुनिश्चित करें कि आपके पास उपयुक्त पैकेज संस्करण स्थापित हैं और अपने वेबसर्वर को भेद्यता के लिए एक बार फिर जांचें।

प्रमुख पैकेज निम्नानुसार हैं, मैंने इस जानकारी को नीचे दिए गए कमांड का उपयोग करके निर्धारित किया था ताकि क्रूट को संपादित किया जाए (आपको मेरी मशीनों की स्थिति के बारे में इतना जानने की आवश्यकता नहीं है)।

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12भेद्यता नहीं होनी चाहिए। सुनिश्चित करें कि यह फिर से नीचे की वेबसाइट पर जाकर, और आपके वेब सर्वर का परीक्षण करने के लिए है।

http://filippo.io/Heartbleed/


2
एक सर्वर में भेद्यता साबित करने के लिए एक बाहरी साइट का उपयोग करना मुझे गलत दृष्टिकोण लगता है।
रिनविंड

बाहरी भेद्यता परीक्षण स्क्रिप्ट इन दिनों अधिक से अधिक आम हो रहे हैं। यह वास्तव में एक आंतरिक स्क्रिप्ट क्या करता है, कनेक्शन सिर्फ एक बाहरी वेबसर्वर से शुरू किया जाता है। आप एक कार्यक्रम के उदाहरण के लिए WhiteHatSecurity.com जैसी साइटों को देख सकते हैं जो सभी कनेक्शन को दूरस्थ रूप से आरंभ करती हैं। ऐसे उदाहरण हैं जहां यह उड़ नहीं पाएगा, उदाहरण के लिए नेटवर्क भेद्यता परीक्षण लेकिन आगे की ओर वेबसर्वर (जो सामान्य रूप से एक एसएसएल सर्वर होगा) के परीक्षण के लिए यह लगभग आदर्श है।
एड्रियन

अगर यह अपग्रेड किया जा रहा है तो पैकेज क्यों स्थापित करें?
ब्रियम

1
apt-get install openssl libssl1.0.0मेरे लिए किया। चल रहा है openssl version -aअब पता चलता है:built on: Mon Apr 7 20:33:29 UTC 2014
Topher

"बाहरी भेद्यता परीक्षण स्क्रिप्ट इन दिनों अधिक से अधिक सामान्य हो रही हैं।" जो उस बाहरी साइट की संभावना को खोलती है जो मेरे सिस्टम का दुरुपयोग कर रही है: सभी को यह जानने की जरूरत है कि यह विफल हो जाए और मेरे सिस्टम को हैक करने से पहले मैं इसे पैच कर दूं। नहीं, यह सही तरीका नहीं है। (और हाँ मैं अपाचे और ओपनसेल के साथ अपनी खुद की साइटों की मेजबानी करता हूं)।
रिनजविंड

11

मैंने यहां कई टिप्पणीकारों को देखा, जिन्हें तत्काल मदद की आवश्यकता है। वे कुछ परीक्षण वेबसाइटों का उपयोग करते समय निर्देशों का पालन कर रहे हैं, और अपग्रेड कर रहे हैं, और रिबूट कर रहे हैं, और अभी भी असुरक्षित हैं।

आपको यह सुनिश्चित करने के लिए जाँचना चाहिए कि आपके पास libssl जैसे पैकेज नहीं हैं।

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

उन apt-mark unhold libssl1.0.0(उदाहरण के लिए) को अपग्रेड करने के लिए। फिर उन्नयन: apt-get upgrade -V। फिर, प्रभावित सेवाओं को पुनरारंभ करें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.