बग को हार्टलेड के रूप में जाना जाता है ।
क्या मैं असुरक्षित हूं?
आम तौर पर, यदि आप कुछ सर्वर चलाते हैं जो आपने SSL कुंजी को किसी बिंदु पर चलाया है, तो आप प्रभावित होते हैं। अधिकांश अंत-उपयोगकर्ता प्रभावित (सीधे) नहीं हैं; कम से कम फ़ायरफ़ॉक्स और क्रोम ओपनएसएसएल का उपयोग नहीं करते हैं। SSH प्रभावित नहीं है। उबंटू संकुल का वितरण प्रभावित नहीं है (यह GPG हस्ताक्षर पर निर्भर करता है)।
यदि आप किसी भी प्रकार का सर्वर चलाते हैं जो OpenSSL संस्करणों 1.0-1.0.1f (बग की खोज के बाद पैच किए गए कोर्स संस्करणों को छोड़कर) का उपयोग करता है, तो आप असुरक्षित हैं। प्रभावित उबंटू संस्करण 14.04 भरोसेमंद पूर्व-रिलीज़ के माध्यम से 11.10 एकिरिक हैं। यह एक कार्यान्वयन बग है, प्रोटोकॉल में कोई दोष नहीं है, इसलिए केवल ओपनएसएसएल पुस्तकालय का उपयोग करने वाले कार्यक्रम प्रभावित होते हैं। यदि आपके पास OpenSSL के पुराने 0.9.x संस्करण से जुड़ा कोई कार्यक्रम है, तो यह प्रभावित नहीं होता है। केवल प्रोग्राम जो एसएसएल प्रोटोकॉल को लागू करने के लिए ओपनएसएसएल लाइब्रेरी का उपयोग करते हैं, वे प्रभावित होते हैं; अन्य चीजों के लिए OpenSSL का उपयोग करने वाले प्रोग्राम प्रभावित नहीं होते हैं।
यदि आप इंटरनेट के संपर्क में आने वाला एक कमजोर सर्वर चलाते हैं, तो समझौता करें जब तक कि आपके लॉग 2014-04-07 की घोषणा के बाद से कोई कनेक्शन नहीं दिखाते। (यह मानता है कि इसकी घोषणा से पहले भेद्यता का दोहन नहीं किया गया था।) यदि आपके सर्वर को केवल आंतरिक रूप से उजागर किया गया था, तो क्या आपको चाबियाँ बदलने की आवश्यकता है जो इस बात पर निर्भर करेगा कि अन्य सुरक्षा उपाय क्या हैं।
प्रभाव क्या है?
बग किसी भी क्लाइंट को अनुमति देता है जो सर्वर से 64kB मेमोरी को पुनः प्राप्त करने के लिए आपके एसएसएल सर्वर से जुड़ सकता है। ग्राहक को किसी भी तरह से प्रमाणित करने की आवश्यकता नहीं है। हमले को दोहराने से, ग्राहक क्रमिक प्रयासों में मेमोरी के विभिन्न हिस्सों को डंप कर सकता है।
हमलावरों को पुनर्प्राप्त करने में सक्षम हो सकने वाले डेटा के महत्वपूर्ण टुकड़ों में से एक सर्वर की एसएसएल निजी कुंजी है। इस डेटा के साथ, हमलावर आपके सर्वर को प्रतिरूपित कर सकता है।
मैं एक सर्वर पर कैसे ठीक हो सकता हूं?
सभी प्रभावित सर्वरों को ऑफ़लाइन ले जाएं। जब तक वे चल रहे हैं, वे संभावित रूप से महत्वपूर्ण डेटा लीक कर रहे हैं।
libssl1.0.0
पैकेज को अपग्रेड करें , और सुनिश्चित करें कि सभी प्रभावित सर्वर पुनः आरंभ हो।
आप जांच सकते हैं कि क्या प्रभावित प्रक्रियाएं अभी भी `` grep 'libssl के साथ चल रही हैं। (हटाए गए) '/ proc / / मैप्स'
नई कुंजी उत्पन्न करें । यह आवश्यक है क्योंकि बग ने हमलावर को पुरानी निजी कुंजी प्राप्त करने की अनुमति दी हो सकती है। उसी प्रक्रिया का पालन करें जिसे आपने शुरू में इस्तेमाल किया था।
- यदि आप एक प्रमाणीकरण प्राधिकारी द्वारा हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो अपने सीए को अपनी नई सार्वजनिक कुंजी जमा करें। जब आप नया प्रमाणपत्र प्राप्त करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
- यदि आप स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं, तो इसे अपने सर्वर पर स्थापित करें।
- किसी भी तरह से, पुरानी कुंजियों और प्रमाणपत्रों को बाहर ले जाएं (लेकिन उन्हें हटाएं नहीं, बस यह सुनिश्चित करें कि उन्हें कोई और उपयोग नहीं किया जा रहा है)।
अब जब आपके पास नई असंबद्ध कुंजी है, तो आप अपने सर्वर को ऑनलाइन वापस ला सकते हैं ।
पुराने प्रमाण पत्रों को निरस्त करें ।
नुकसान का आकलन : किसी भी डेटा जो एसएसएल कनेक्शन की सेवा करने की प्रक्रिया की स्मृति में रहा है, संभवतः लीक हो सकता है। इसमें उपयोगकर्ता पासवर्ड और अन्य गोपनीय डेटा शामिल हो सकते हैं। आपको यह मूल्यांकन करने की आवश्यकता है कि यह डेटा क्या हो सकता है।
- यदि आप एक ऐसी सेवा चला रहे हैं जो पासवर्ड प्रमाणीकरण की अनुमति देती है, तो उन उपयोगकर्ताओं के पासवर्ड, जो भेद्यता की घोषणा से थोड़ा पहले जुड़े थे, को समझौता माना जाना चाहिए। (थोड़ा पहले, क्योंकि पासवर्ड कुछ समय के लिए मेमोरी में अप्रयुक्त रह सकता है।) अपने लॉग की जांच करें और किसी भी प्रभावित उपयोगकर्ता के पासवर्ड को बदल दें।
- सभी सत्र कुकीज़ को भी अमान्य कर दें, क्योंकि वे समझौता कर सकते थे।
- ग्राहक प्रमाणपत्रों से समझौता नहीं किया जाता है।
- कोई भी डेटा जो भेद्यता से थोड़ा पहले से एक्सचेंज किया गया था, वह सर्वर की मेमोरी में बना रह सकता है और इसलिए किसी हमलावर को लीक किया गया हो सकता है।
- यदि किसी ने एक पुराने एसएसएल कनेक्शन को रिकॉर्ड किया है और आपके सर्वर की कुंजियों को फिर से प्राप्त किया है, तो वे अब अपने ट्रांसक्रिप्ट को डिक्रिप्ट कर सकते हैं। (जब तक कि पीएफएस सुनिश्चित नहीं किया गया था - यदि आप नहीं जानते हैं, तो यह नहीं था।)
मैं एक ग्राहक पर कैसे ठीक हो सकता हूं?
केवल कुछ ही स्थितियां हैं जिनमें क्लाइंट एप्लिकेशन प्रभावित होते हैं। सर्वर साइड में समस्या यह है कि कोई भी सर्वर से जुड़ सकता है और बग का फायदा उठा सकता है। क्लाइंट का शोषण करने के लिए, तीन शर्तों को पूरा करना होगा:
- SSL प्रोटोकॉल को कार्यान्वित करने के लिए क्लाइंट प्रोग्राम ने एक छोटी सी वर्जन OpenSSL लाइब्रेरी का उपयोग किया।
- एक दुर्भावनापूर्ण सर्वर से जुड़ा क्लाइंट। (उदाहरण के लिए, यदि आप किसी ईमेल प्रदाता से जुड़े हैं, तो यह चिंता का विषय नहीं है।) सर्वर के मालिक की भेद्यता से अवगत होने के बाद ऐसा होना था, इसलिए संभवतः 2014-04-07 के बाद।
- क्लाइंट प्रक्रिया में स्मृति में गोपनीय डेटा था जो सर्वर के साथ साझा नहीं किया गया था। (इसलिए यदि आप केवल
wget
एक फ़ाइल डाउनलोड करने के लिए दौड़े , तो लीक करने के लिए कोई डेटा नहीं था।)
यदि आपने 2014-04-07 की शाम के बीच UTC और अपनी ओपनएसएसएल लाइब्रेरी को अपग्रेड किया है, तो किसी भी डेटा पर विचार करें जो क्लाइंट प्रक्रिया की मेमोरी में समझौता करने के लिए था।
संदर्भ