ओपनएसएसएल में हार्टलेड बग (CVE-2014-0160) को कैसे पैच करें?

आज तक, ओपनएसएसएल में एक बग (समावेशी) के 1.0.1माध्यम से संस्करणों को प्रभावित करते हुए पाया गया है ।1.0.1f1.0.2-beta

Ubuntu 12.04 के बाद से, हम सभी इस बग के प्रति संवेदनशील हैं। इस भेद्यता को पैच करने के लिए, प्रभावित उपयोगकर्ताओं को ओपनएसएसएल को अपडेट करना चाहिए 1.0.1g।

हर प्रभावित उपयोगकर्ता इस अद्यतन को अब कैसे लागू कर सकता है ?

सुरक्षा अद्यतन 12.04, 12.10, 13.10 और 14.04 के लिए उबंटू सुरक्षा सूचना USN-2165-1 देखें ।

इसलिए पहले आपको उपलब्ध सुरक्षा अपडेट को लागू करना होगा, उदाहरण के लिए रनिंग

sudo apt-get update
sudo apt-get upgrade

कमांड लाइन से।

प्रभावित OpenSSL संस्करण का उपयोग करने वाली सेवाओं (HTTP, SMTP, आदि) को पुनरारंभ करना न भूलें , अन्यथा आप अभी भी असुरक्षित हैं। इसे भी देखें : क्या है और इसे कम करने के लिए क्या विकल्प हैं? Serverfault.com पर।

निम्न आदेश दिखाता है (नवीनीकरण के बाद) सभी सेवाओं को पुनरारंभ करने की आवश्यकता है:

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

उसके बाद, आपको सभी सर्वर एसएसएल कुंजियों को फिर से बनाने की आवश्यकता है , फिर मूल्यांकन करें कि क्या आपकी कुंजी लीक हो सकती है, जिस स्थिति में हमलावरों ने आपके सर्वर से गोपनीय जानकारी प्राप्त की हो सकती है।

बग को हार्टलेड के रूप में जाना जाता है ।

क्या मैं असुरक्षित हूं?

आम तौर पर, यदि आप कुछ सर्वर चलाते हैं जो आपने SSL कुंजी को किसी बिंदु पर चलाया है, तो आप प्रभावित होते हैं। अधिकांश अंत-उपयोगकर्ता प्रभावित (सीधे) नहीं हैं; कम से कम फ़ायरफ़ॉक्स और क्रोम ओपनएसएसएल का उपयोग नहीं करते हैं। SSH प्रभावित नहीं है। उबंटू संकुल का वितरण प्रभावित नहीं है (यह GPG हस्ताक्षर पर निर्भर करता है)।

यदि आप किसी भी प्रकार का सर्वर चलाते हैं जो OpenSSL संस्करणों 1.0-1.0.1f (बग की खोज के बाद पैच किए गए कोर्स संस्करणों को छोड़कर) का उपयोग करता है, तो आप असुरक्षित हैं। प्रभावित उबंटू संस्करण 14.04 भरोसेमंद पूर्व-रिलीज़ के माध्यम से 11.10 एकिरिक हैं। यह एक कार्यान्वयन बग है, प्रोटोकॉल में कोई दोष नहीं है, इसलिए केवल ओपनएसएसएल पुस्तकालय का उपयोग करने वाले कार्यक्रम प्रभावित होते हैं। यदि आपके पास OpenSSL के पुराने 0.9.x संस्करण से जुड़ा कोई कार्यक्रम है, तो यह प्रभावित नहीं होता है। केवल प्रोग्राम जो एसएसएल प्रोटोकॉल को लागू करने के लिए ओपनएसएसएल लाइब्रेरी का उपयोग करते हैं, वे प्रभावित होते हैं; अन्य चीजों के लिए OpenSSL का उपयोग करने वाले प्रोग्राम प्रभावित नहीं होते हैं।

यदि आप इंटरनेट के संपर्क में आने वाला एक कमजोर सर्वर चलाते हैं, तो समझौता करें जब तक कि आपके लॉग 2014-04-07 की घोषणा के बाद से कोई कनेक्शन नहीं दिखाते। (यह मानता है कि इसकी घोषणा से पहले भेद्यता का दोहन नहीं किया गया था।) यदि आपके सर्वर को केवल आंतरिक रूप से उजागर किया गया था, तो क्या आपको चाबियाँ बदलने की आवश्यकता है जो इस बात पर निर्भर करेगा कि अन्य सुरक्षा उपाय क्या हैं।

प्रभाव क्या है?

बग किसी भी क्लाइंट को अनुमति देता है जो सर्वर से 64kB मेमोरी को पुनः प्राप्त करने के लिए आपके एसएसएल सर्वर से जुड़ सकता है। ग्राहक को किसी भी तरह से प्रमाणित करने की आवश्यकता नहीं है। हमले को दोहराने से, ग्राहक क्रमिक प्रयासों में मेमोरी के विभिन्न हिस्सों को डंप कर सकता है।

हमलावरों को पुनर्प्राप्त करने में सक्षम हो सकने वाले डेटा के महत्वपूर्ण टुकड़ों में से एक सर्वर की एसएसएल निजी कुंजी है। इस डेटा के साथ, हमलावर आपके सर्वर को प्रतिरूपित कर सकता है।

मैं एक सर्वर पर कैसे ठीक हो सकता हूं?

1. सभी प्रभावित सर्वरों को ऑफ़लाइन ले जाएं। जब तक वे चल रहे हैं, वे संभावित रूप से महत्वपूर्ण डेटा लीक कर रहे हैं।

2. libssl1.0.0पैकेज को अपग्रेड करें , और सुनिश्चित करें कि सभी प्रभावित सर्वर पुनः आरंभ हो।
   आप जांच सकते हैं कि क्या प्रभावित प्रक्रियाएं अभी भी `` grep 'libssl के साथ चल रही हैं। (हटाए गए) '/ proc / / मैप्स'

3. नई कुंजी उत्पन्न करें । यह आवश्यक है क्योंकि बग ने हमलावर को पुरानी निजी कुंजी प्राप्त करने की अनुमति दी हो सकती है। उसी प्रक्रिया का पालन करें जिसे आपने शुरू में इस्तेमाल किया था।

   • यदि आप एक प्रमाणीकरण प्राधिकारी द्वारा हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो अपने सीए को अपनी नई सार्वजनिक कुंजी जमा करें। जब आप नया प्रमाणपत्र प्राप्त करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
   • यदि आप स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
   • किसी भी तरह से, पुरानी कुंजियों और प्रमाणपत्रों को बाहर ले जाएं (लेकिन उन्हें हटाएं नहीं, बस यह सुनिश्चित करें कि उन्हें कोई और उपयोग नहीं किया जा रहा है)।

4. अब जब आपके पास नई असंबद्ध कुंजी है, तो आप अपने सर्वर को ऑनलाइन वापस ला सकते हैं ।

5. पुराने प्रमाण पत्रों को निरस्त करें ।

6. नुकसान का आकलन : किसी भी डेटा जो एसएसएल कनेक्शन की सेवा करने की प्रक्रिया की स्मृति में रहा है, संभवतः लीक हो सकता है। इसमें उपयोगकर्ता पासवर्ड और अन्य गोपनीय डेटा शामिल हो सकते हैं। आपको यह मूल्यांकन करने की आवश्यकता है कि यह डेटा क्या हो सकता है।

   • यदि आप एक ऐसी सेवा चला रहे हैं जो पासवर्ड प्रमाणीकरण की अनुमति देती है, तो उन उपयोगकर्ताओं के पासवर्ड, जो भेद्यता की घोषणा से थोड़ा पहले जुड़े थे, को समझौता माना जाना चाहिए। (थोड़ा पहले, क्योंकि पासवर्ड कुछ समय के लिए मेमोरी में अप्रयुक्त रह सकता है।) अपने लॉग की जांच करें और किसी भी प्रभावित उपयोगकर्ता के पासवर्ड को बदल दें।
   • सभी सत्र कुकीज़ को भी अमान्य कर दें, क्योंकि वे समझौता कर सकते थे।
   • ग्राहक प्रमाणपत्रों से समझौता नहीं किया जाता है।
   • कोई भी डेटा जो भेद्यता से थोड़ा पहले से एक्सचेंज किया गया था, वह सर्वर की मेमोरी में बना रह सकता है और इसलिए किसी हमलावर को लीक किया गया हो सकता है।
   • यदि किसी ने एक पुराने एसएसएल कनेक्शन को रिकॉर्ड किया है और आपके सर्वर की कुंजियों को फिर से प्राप्त किया है, तो वे अब अपने ट्रांसक्रिप्ट को डिक्रिप्ट कर सकते हैं। (जब तक कि पीएफएस सुनिश्चित नहीं किया गया था - यदि आप नहीं जानते हैं, तो यह नहीं था।)

मैं एक ग्राहक पर कैसे ठीक हो सकता हूं?

केवल कुछ ही स्थितियां हैं जिनमें क्लाइंट एप्लिकेशन प्रभावित होते हैं। सर्वर साइड में समस्या यह है कि कोई भी सर्वर से जुड़ सकता है और बग का फायदा उठा सकता है। क्लाइंट का शोषण करने के लिए, तीन शर्तों को पूरा करना होगा:

• SSL प्रोटोकॉल को कार्यान्वित करने के लिए क्लाइंट प्रोग्राम ने एक छोटी सी वर्जन OpenSSL लाइब्रेरी का उपयोग किया।
• एक दुर्भावनापूर्ण सर्वर से जुड़ा क्लाइंट। (उदाहरण के लिए, यदि आप किसी ईमेल प्रदाता से जुड़े हैं, तो यह चिंता का विषय नहीं है।) सर्वर के मालिक की भेद्यता से अवगत होने के बाद ऐसा होना था, इसलिए संभवतः 2014-04-07 के बाद।
• क्लाइंट प्रक्रिया में स्मृति में गोपनीय डेटा था जो सर्वर के साथ साझा नहीं किया गया था। (इसलिए यदि आप केवल wgetएक फ़ाइल डाउनलोड करने के लिए दौड़े , तो लीक करने के लिए कोई डेटा नहीं था।)

यदि आपने 2014-04-07 की शाम के बीच UTC और अपनी ओपनएसएसएल लाइब्रेरी को अपग्रेड किया है, तो किसी भी डेटा पर विचार करें जो क्लाइंट प्रक्रिया की मेमोरी में समझौता करने के लिए था।

संदर्भ

• हार्टब्लेड बग (स्वतंत्र रूप से बग की खोज करने वाली दो टीमों में से एक)
• वास्तव में ओपनएसएसएल टीएलएस दिल की धड़कन (हार्दिक) शोषण कैसे काम करता है?
• क्या नाराज़ हर एसएसएल सर्वर के लिए नए प्रमाण पत्र का मतलब है?
• हार्दिक: यह क्या है और इसे कम करने के लिए क्या विकल्प हैं?

यह देखने के लिए कि कौन सा ओपनएसएसएल संस्करण उबंटू रन पर स्थापित है:

dpkg -l | grep openssl

यदि आप निम्न संस्करण आउटपुट देखते हैं, तो CVE-2014-0160 के लिए पैच को शामिल किया जाना चाहिए।

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

Https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12 को देखते हुए , यह दिखाता है कि किस तरह के कीड़े तय हैं:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

यदि आपके उपयुक्त-रिपॉजिटरी में कोई पूर्वनिर्धारित 1.0.1g ओपनएसएसएल संस्करण नहीं है, तो बस आधिकारिक वेबसाइट से स्रोतों को डाउनलोड करें और इसका अनुपालन करें।

अंतिम ओपनसेल संस्करण को संकलित करने और स्थापित करने के लिए एकल कमांड लाइन के नीचे।

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

सिम्पलिंक के माध्यम से पुराने ओपनसेल बाइनरी फाइल को नए द्वारा बदलें।

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

आप सभी अच्छे हैं!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

इस ब्लॉग पोस्ट को Cf करें ।

NB: जैसा कि ब्लॉग पोस्ट में कहा गया है, यह वर्कअराउंड "Nginx और Apache सर्वर को ठीक नहीं करेगा, जिन्हें 1.0.1g ओपनएसएसएल स्रोतों के साथ recompile किया जाना है।"

उन लोगों के लिए जो एक सर्वरवाइड पैकेज अपग्रेड नहीं करना चाहते हैं। मैंने आज इन गाइडों का एक गुच्छा पढ़ा और apt-get upgrade openssl=== apt-get upgradeयह आपकी मशीन द्वारा आवश्यक सभी सुरक्षा सुधारों को लागू करेगा। अद्भुत, जब तक आप स्पष्ट रूप से एक पुराने पैकेज संस्करण पर कहीं झुक रहे हैं।

यह अपाचे 2 चलाने वाले Ubuntu 12.04 LTS पर आवश्यक न्यूनतम कार्रवाई है:

• इस पते पर जाएं और साबित करें कि आपके पास भेद्यता है। आपको अपने वेब सर्वर के प्रत्यक्ष बाहरी विज्ञापन का उपयोग करना चाहिए। यदि आप एक लोडबेलर का उपयोग करते हैं (उदाहरण के लिए ईएलबी) तो आप सीधे अपने वेब सर्वर से संपर्क नहीं कर सकते हैं।

• पैकेजों को अपग्रेड करने और पुनरारंभ करने के लिए निम्नलिखित 1 लाइनर चलाएं। हां, मैंने सभी गाइडों को यह कहते हुए देखा कि आपके पास 4 अप्रैल 2014 की तुलना में बाद में टाइमस्टैम्प होना चाहिए, ऐसा मुझे नहीं लगता।

  apt-get update && apt-get install खुलता है libsl1.0.0 && /etc/init.d/apache2 पुनरारंभ

• सुनिश्चित करें कि आपके पास उपयुक्त पैकेज संस्करण स्थापित हैं और अपने वेबसर्वर को भेद्यता के लिए एक बार फिर जांचें।

प्रमुख पैकेज निम्नानुसार हैं, मैंने इस जानकारी को नीचे दिए गए कमांड का उपयोग करके निर्धारित किया था ताकि क्रूट को संपादित किया जाए (आपको मेरी मशीनों की स्थिति के बारे में इतना जानने की आवश्यकता नहीं है)।

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12भेद्यता नहीं होनी चाहिए। सुनिश्चित करें कि यह फिर से नीचे की वेबसाइट पर जाकर, और आपके वेब सर्वर का परीक्षण करने के लिए है।

http://filippo.io/Heartbleed/

मैंने यहां कई टिप्पणीकारों को देखा, जिन्हें तत्काल मदद की आवश्यकता है। वे कुछ परीक्षण वेबसाइटों का उपयोग करते समय निर्देशों का पालन कर रहे हैं, और अपग्रेड कर रहे हैं, और रिबूट कर रहे हैं, और अभी भी असुरक्षित हैं।

आपको यह सुनिश्चित करने के लिए जाँचना चाहिए कि आपके पास libssl जैसे पैकेज नहीं हैं।

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

उन apt-mark unhold libssl1.0.0(उदाहरण के लिए) को अपग्रेड करने के लिए। फिर उन्नयन: apt-get upgrade -V। फिर, प्रभावित सेवाओं को पुनरारंभ करें।