سؤال Heartbleed: ما هو وما هي الخيارات للتخفيف من ذلك؟


هذا ال السؤال الكنسي حول فهم ومعالجة مشكلة الأمن Heartbleed.

ما هو بالضبط CVE-2014-0160 AKA "Heartbleed"؟ ما هو السبب ، ما هي أنظمة التشغيل والإصدارات من OpenSSL التي تكون عرضة للخطر ، ما هي الأعراض ، هل هناك أي أساليب للكشف عن استغلال ناجح؟

كيف يمكنني التحقق لمعرفة ما إذا كان النظام الخاص بي متأثرًا؟ كيف يمكن التخفيف من هذه الثغرة الأمنية؟ هل يجب أن أشعر بالقلق من أن مفاتيحي أو بيانات خاصة أخرى قد تعرضت للاختراق؟ ما هي الآثار الجانبية الأخرى التي يجب أن أشعر بالقلق حيالها؟


204
2018-04-08 00:26


الأصل


التخفيف ل Heartbleed يتضمن أكثر من من مجرد مفاتيح جديدة. (رابط إلى جوابي على أمان المعلومات StackExchange) - scuzzy-delta
أسمع لك ، لكنني أعتقد أن EEAA قد غطت بشكل شامل ذلك أدناه. - MadHatter
أوافق: إنها إجابة رائعة ، ولكن heartbleed.com يبذل جهدًا كبيرًا للإشارة إلى وجود اعتبارات تتجاوز مجرد الأزواج الرئيسية الجديدة - مثل فرض تغييرات كلمة المرور وإبطال جلسة العمل. - scuzzy-delta
@ scuzzy-delta - نقطة جيدة. لقد تقدمت بجوابي CW الآن ، لذا لا تتردد في تعديله / تحسينه باستخدام هذه المعلومات. - EEAA
أفضل مثال على ما هو عليه - (من غير المستغرب) XKCD: xkcd.com/1354 - Wayne Werner


الأجوبة:


أولقبل أن تنفجر ، تأكد من أنك تفهم ما إذا كانت هذه الثغرة تنطبق عليك بالفعل أم لا. إذا كان لديك خادم ، ولكن لم يكن لديك في الواقع أي تطبيقات باستخدام TLS ، فهذا ليس بالأولوية العالية بالنسبة لك لإصلاحه. إذا كنت ، من ناحية أخرى ، أنت من أي وقت مضى التطبيقات التي تمكِّن طبقة النقل الآمنة (TLS) ، حسنًا ، إذا كنت جاهزًا للاستمتاع. واصل القراءة:

ما هو بالضبط CVE-2014-0160 المعروف أيضا باسم "Heartbleed"؟

إنها فوضى عارمة كبيرة ، هذا ما هو عليه. باختصار ، تم اكتشاف ثغرة يمكن استغلالها عن بعد في إصدارات OpenSSL 1.0.1 حتى 1.0.1f التي يستطيع خلالها المهاجم قراءة أجزاء معينة من ذاكرة النظام. هذه الأجزاء هي تلك التي تحتوي على بيانات حساسة مثل المفاتيح الخاصة والمفاتيح التي تمت مشاركتها وكلمات المرور وبيانات الشركات ذات القيمة العالية من بين أمور أخرى.

تم اكتشاف الخطأ بشكل مستقل بواسطة Neel Mehta من Google Security (21 آذار 2014) وشركة اختبار الأمان التقني الفنلندي Codenomicon (2 أبريل 2014).

ما هو السبب؟

حسنا ، رمز خاطئ في OpenSSL. هنا هو الالتزام الذي قدم الضعف ، و هنا هو الالتزام الذي أصلح الثغرة الأمنية. ظهرت الأخطاء في ديسمبر 2011 وتم تصحيحها اليوم ، 7 أبريل 2014.

ويمكن أيضا أن ينظر إلى علة كأعراض لمشكلة أكبر. والمشكلتان المتعلقتان هما (1) ما هي العملية القائمة لضمان عدم إدخال الكود المفترض إلى قاعدة الكود ، و (2) لماذا تكون البروتوكولات والإضافات معقدة للغاية ومن الصعب اختبارها. البند (1) هو مشكلة في الحوكمة والعملية مع OpenSSL والعديد من المشاريع الأخرى. يقاوم العديد من المطورين ببساطة ممارسات مثل مراجعات التعليمات البرمجية والتحليل والمسح الضوئي. تتم مناقشة البند (2) على TLS WGT في IETF. نرى تعقيد بروتوكول / Heartble.

هل تم إدخال الكود الضال بشكل خبيث؟

لن أفكر في ما إذا كان هذا خطأً حقيقياً أو ربما حدث القليل من التعليمات البرمجية نيابة عن ممثل سيء. ومع ذلك ، يوضح الشخص الذي قام بتطوير التعليمات البرمجية لـ OpenSSL أنه غير مقصود. نرى الرجل الذي أدخل عيب الأمن "Heartbleed" خطيرة ينكر أنه أدخله عن عمد.

ما هي أنظمة التشغيل والإصدارات من OpenSSL ضعيفة؟

كما ذكر أعلاه ، أي نظام تشغيل يستخدم ، أو تطبيق مرتبط بـ OpenSSL 1.0.1 خلال 1.0.1f.

ما هي الأعراض ، هل هناك أي وسائل للكشف عن استغلال ناجح؟

هذا هو الجزء المرعب. على حد علمنا ، لا توجد طريقة معروفة للكشف عن ما إذا كان قد تم استغلال هذه الثغرة أم لا. من الممكن نظريًا أن يتم إصدار توقيعات IDS قريبًا والتي يمكنها اكتشاف هذا الاستغلال ، ولكن حتى كتابة هذه السطور ، لا تتوفر هذه التوقيعات.

هناك أدلة على أن Heartbleed كان يجري استغلالها بنشاط في البرية في وقت مبكر من نوفمبر 2013. انظر EFF وايلد آت هارت: هل استخدمت وكالات الاستخبارات هزيمة ثقيلة في نوفمبر 2013؟ وأفادت بلومبرغ أن وكالة الأمن القومي قامت بتسليح هذا الاستغلال بعد وقت قصير من إدخال الثغرة الأمنية. نرى NSA قال أن يستغل Heartbleed علة للمخابرات لسنوات. ومع ذلك ، فإن جماعة الاستخبارات الأمريكية تنفي مزاعم بلومبرج. نرى IC على السجل.

كيف يمكنني التحقق لمعرفة ما إذا كان النظام الخاص بي متأثرًا؟

إذا أنت تحافظ على OpenSSL على نظامك ، ثم يمكنك ببساطة إصداره openssl version:

$ openssl version
OpenSSL 1.0.1g 7 Apr 2014

إذا يحافظ التوزيع على OpenSSL ، ومن المحتمل أنك لن تستطيع تحديد إصدار OpenSSL بسبب استخدام التصحيح مرة أخرى openssl الأمر أو معلومات الحزمة (على سبيل المثال ، apt-get، dpkg، yum أو rpm). لا تستخدم عملية التصحيح التي تستخدمها معظم التوزيعات (كلها) إلا رقم الإصدار الأساسي (على سبيل المثال ، "1.0.1e") ؛ و اعمل ليس وتشمل النسخة الأمنية الفعالة (على سبيل المثال ، "1.0.1g").

هناك سؤال مفتوح حول Super User لتحديد إصدار الأمان الفعال لـ OpenSSL والحزم الأخرى عندما يتم إرفاق الطرود. للأسف ، لا توجد إجابات مفيدة (بخلاف التحقق من موقع التوزيعة). نرى تحديد إصدار الأمان الفعال عند مواجهة Backpatching؟.

كقاعدة عامة: إذا قمت بتثبيت أحد الإصدارات المتأثرة من قبل ، وقمت بتشغيل برامج أو خدمات مرتبطة ببرنامج OpenSSL لدعم TLS ، فإنك تكون عرضة للخطر.

أين يمكنني العثور على برنامج لاختبار الثغرة الأمنية؟

في غضون ساعات من إعلان Heartbleed ، قام العديد من الأشخاص على الإنترنت بنشر تطبيقات الويب التي يمكن الوصول إليها بشكل عام والتي يُفترض أنها يمكن استخدامها لفحص خادم لوجود هذه الثغرة الأمنية. حتى كتابة هذه السطور ، لم أقم بمراجعة أي شيء ، لذلك لن أزيد من نشر طلباتهم. يمكن العثور عليها بسهولة نسبية بمساعدة محرك البحث المفضل لديك.

كيف يتم تخفيف هذه الثغرة الأمنية؟

الترقية إلى إصدار غير قابل للضعف وإعادة تعيين أو إعادة ضمان البيانات الضعيفة. كما لوحظ على هارتبليد موقع ، خطوات الاستجابة المناسبة هي على نطاق واسع:

  1. تصحيح الأنظمة الضعيفة.
  2. إعادة إنشاء مفاتيح خاصة جديدة.
  3. إرسال CSR جديد إلى CA.
  4. الحصول على شهادة موقعة جديدة وتثبيتها.
  5. مفاتيح جلسة العمل غير صالحة وملفات تعريف الارتباط
  6. إعادة تعيين كلمات المرور والأسرار المشتركة
  7. إبطال الشهادات القديمة.

للحصول على تحليل وإجابة أكثر تفصيلاً ، انظر ما الذي يجب أن يفعله مشغل موقع الويب حول استغلال Heartbleed OpenSSL؟في تبادل مكدس الأمن.

يجب أن أكون قلقا من أن مفاتيحي أو بيانات خاصة أخرى قد تم   تسوية؟ ما هي الآثار الجانبية الأخرى التي يجب أن أشعر بالقلق حيالها؟

إطلاقا. يحتاج مسؤولو النظم إلى افترض أن خوادمهم التي تستخدم إصدارات OpenSSL الضعيفة مخترقة بالفعل وتستجيب وفقًا لذلك.

بعد وقت قصير من الكشف عن الضعف ، عرض Cloudfare تحديًا لمعرفة ما إذا كان المفتاح الخاص للخادم يمكن استرداده في الممارسة. وفاز التحدي فيدرر اندوتني وايلكا ماتيلا بشكل مستقل. نرى التحدي Heartbleed.

أين يمكنني العثور على مزيد من المعلومات؟

تفريغ الارتباط ، لأولئك الذين يبحثون عن مزيد من التفاصيل:


يمكن العثور على جدول زمني مفصل بدلاً من أحداث الكشف في جدول زمني الكشف عن هارتيليد: من يعرف ماذا ومتى.


إذا كنت مبرمجًا وتهتم بحيل البرمجة المختلفة مثل اكتشاف هجوم Heartbleed من خلال OpenSSL msg_cb معاودة الاتصال ، ثم راجع OpenSSL الاستشارات الأمنية 2014047.


118
2018-04-08 04:23



+1 لـ اغلق. أسفل. ك. SERVERS. * - إذا كنت تفعل أي شيء حيث يكون SSL مهمًا حقًا ، فقم بإيقاف تشغيله حتى تقوم بإصلاح المشكلة. لا تنس أيضًا تثبيت شهادات جديدة (مع مفاتيح جديدة) بعد تصحيح خوادمك - إن إعادة استخدام مفاتيحك القديمة (التي ربما تعرضت للاختراق) يهزم الغرض بأكمله من إصلاح الثغرة الأمنية ... - voretaq7
أيضا - إعادة تشغيل أي خدمات ترتبط بمكتبات OpenSSL. إن ترقية OpenSSL دون إعادة تشغيل نظام التشغيل الخاص بك تكون جيدة مثل عدم الترقية على الإطلاق. - EEAA
في الواقع - بعد أي نوع من التصحيح الرئيسي (مثل OpenSSL) ، أعتبر أنه قاعدة جيدة لإعادة تشغيل الجهاز للتأكد من أنك لا تفوت أي شيء. - voretaq7
أحد المختبرين كان مفتوح المصدر: github.com/FiloSottile/Heartbleed - Riking
EEAA ، "إيقاف تشغيل الخوادم" لا يعني أن عليك سحب الطاقة. ويعني إيقاف تشغيل apache (أو إعادة ضبطه لتعطيل ssl / tls) أو أي خدمة تقوم بذلك. - psusi


شرح بسيط للحشرة ، بواسطة XKCD:

XKCD 1354


42
2018-04-08 07:28





Ubuntu 12.04 و 12.10 و 13.10

أصدر أوبونتو USN-2165-1، والتي تنص على أن الحزم المحدثة متوفرة الآن في المحفوظات. قم بتشغيل الأمرين التاليين للحصول على الإصلاح.

sudo apt-get update
sudo apt-get upgrade

أوبونتو 14.04

لقد قمت بتحميل حزمة Debian تحتوي على الإصدار الجديد (1.0.1g) إلى PPA قمت بإعداده لهذا الغرض. ستقوم هذه الأوامر الثلاثة بإضافة PPA الخاص بي إلى نظامك ، وتحديث قائمة الحزم المتوفرة ، وترقية كل شيء:

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

ملاحظة: يوفر PPA أيضًا حزمًا لـ Ubuntu 12.04 و 13.10 ، فقط إذا كنت تفضل تشغيل الإصدار الجديد (1.0.1g) بدلاً من مجرد استخدام النسخ المصححة في الأرشيفات.

أوبونتو 10.04

هذا هو إصدار LTS ، ولا يزال إصدار الخادم مدعومًا ويتلقى تحديثات الأمان. لكن الثغرة القلبية لم تؤثر على حزمة openssl للتركيب القياسي لـ ubuntu 10.04 ، لأن الإصدار أقل من 1.0.1.

لقد وصلت نسخة سطح المكتب إلى نهاية العمر وتحتاج إلى ترقية / إعادة تثبيت.

أوبونتو 13.04 وإصدارات قديمة أخرى

كان Ubuntu 13.04 دورة دعم قصيرة للغاية قد لا تتوقعها. لقد وصلت إلى نهاية عمرها بالفعل ولا تتلقى تحديثات أمنية بعد الآن. يجب أن يتم تحديثها منذ فترة طويلة. إذا كان شخص ما لا يزال يستخدمه ، فيرجى الترقية الآن ، إما من الصفر أو يمكن ترقيته إلى 13.10 غير تدميري بعد هذا الإجراء السهل: http://www.tecmint.com/upgrade-ubuntu-13-04-raring-ringtail-to-ubuntu-13-10-saucy-salamander/ بعد الترقية ، يتلقى النظام التصحيح المعيب من 13.10.

بالنسبة إلى جميع إصدارات أوبونتو القديمة الأخرى ، فهذا يعني بالضرورة أن التثبيت الجديد ضروري.

تحقق من تطبيق التصحيح

أساسا ، تشغيل openssl version -a وتأكد من أن تاريخ الإنشاء هو 7 نيسان 2014 أو ما بعده ، ولكن انظر المزيد هنا.

اعادة التشغيل

أفضل طريقة للتأكد من إعادة تشغيل جميع الخدمات التي تعتمد على OpenSSL هي اعادة التشغيل.


36
2018-04-08 10:37



لا أستطيع التحدث عن إصدارات أخرى ، ولكن يبدو أن هناك تصحيحًا متوفرًا بدقة (12.04). بينما لا أستطيع أن أقول على وجه اليقين أن هذا يعمل على إصلاح الثغرة الأمنية ، فقد تم تجميعها على الأقل بعد ارتكابها (Mon Apr 7 20:31:55 UTC 2014). - Calrion
Calrion: تصحيح لـ OpenSSL أو تغليف Debian لـ OpenSSL؟ تم بالفعل تثبيت OpenSSL وتم إصدار إصدار جديد. - Nathan Osman
ماذا سيحدث للاتصالات الحالية في حين يتم تحديث openssl؟ سوف يتم إسقاطها؟ - pdeva
يعتمد ذلك على خادم الويب الذي تستخدمه وكيفية تحديثه. ومع ذلك ، لا داعي للقلق بشأن إسقاط الروابط الموجودة لأنهم يستخدمون الإصدار الضعيف. - Nathan Osman
14.04 منذ ذلك الحين تلقى التصحيح. - Seth


RedHat 6.5 و CentOS 6.5

هذه ضعيفة. RedHat's erratum RHSA-2014-0376 يقول هناك مكتبات مصححة المتاحة ، ويجب على أي شخص يتأثر الترقية في أقرب فرصة ممكنة.

في وقت كتابة هذا التقرير ، لم يكن لدى CentOS إصدارًا ثابتًا حتى الآن ، ولكن نشر كارانبير سينغ إلى CentOS-announce يقول أنها أنتجت نسخة محدثة من openssl (openssl-1.0.1e-16.el6_5.4.0.1لاحظ الأرقام الأربعة الأخيرة التي تعتبر هامة) الذي يحتوي على TLS للاستغلال قيادة المعوقين، والتي يمكن تطبيقها بأمان كما سيتم الكتابة فوقه بواسطة إصدار ثابتة عندما يتم تحريرها في نهاية المطاف.

يبدو أن النسخة الثابتة مؤقتًا لم تصل إلى جميع المرايا حتى الآن ، ولكنها في المستودع الرئيسي في http://mirror.centos.org/centos/6/updates/x86_64/Packages/ (وبالمثل ل i686).

تصحيح: كما يقول إيان ، يبدو أن هناك الآن نسخة مصححة بالكامل لـ C6.5 ، ويبدو أنه تم دفعها حول المرايا في عجلة من أمرها. مستقيم yum update حصلت عليه لخادماتي. انها openssl-1.0.1e-16.el6_5.7.

إصدارات RH6 و C6 قبل 6.5

هذه ليست عرضة للخطر. بالنسبة الى هذا الاستشارة من ريد هات،

لم تؤثر هذه المشكلة على إصدارات openssl بالشحن باللون الأحمر   Hat Enterprise Linux 5 و Red Hat Enterprise Linux 6.4 والإصدارات الأقدم.

نشر كارانبير سينغ إلى CentOS-announce واضح بنفس القدر فيما يتعلق بإصدار الإصدارات:

في وقت سابق من اليوم ، كنا على علم بجدية   القضية في openssl بالشحن في CentOS-6.5


14
2018-04-08 13:07



ليس lists.centos.org/pipermail/centos-announce/2014-April/... الافراج عن الإصلاح؟ - Iain


ديبيان ويزي

ديبيان أصدر DSA-2896-1 والمكتبات مصححة هي المتاحة هنا. برنامج نصي shell المتاحة هنا.

1. التصحيح

تم تحديث مستودع Apt-get حتى تتوفر الآن المكتبات المصححة عبر apt-get update && apt-get upgrade

apt-get upgrade libssl1.0.0 openssl

بدلاً من ذلك (غير مستحسن) ، يمكن ترقية الحزم يدويًا:

wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

2. إعادة تشغيل الخادم / الخدمات

للحصول على أفضل حماية ، أعد تشغيل الخادم بأكمله أو إذا تعذر على الخادم العمل دون اتصال ثم أعد تشغيل الخدمات المطلوبة.

3. تحقق من إصدار OpenSSL

love@server:~$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
love@server:~$ dpkg -l libssl1.0.0
||/ Name                    Version          Architecture     Description
+++-=======================-================-================-====================================================
ii  libssl1.0.0                 1.0.1e-2+deb7u6  amd64            SSL shared libraries

13
2018-04-08 11:23



إذا كنت تحصل على التحديثات من wheezy/security عندها ستكون جيدًا apt-get update && apt-get upgrade. أو ، استخدم مدير حزمة تفاعلية لتحديث الحزم فقط openssl، libssl1.0.0، libssl1.0.0-dbg و libssl-dev (كما هو مثبت على النظام الخاص بك). - α CVn
استخدام apt-get لا يصلح المشكلة بالنسبة لي - لا يزال يعرض OpenSSL 1.0.1e 11 فبراير 2013 - user568829
شكراً @ michael-kjorling ، لم يكن ذلك متاحاً عندما قمت بذلك ، ولكن الطريقة الأكثر أمانًا وصحةً للترقية. - jacksoncage
@ user568829 بعد تطبيق الإصدار openssl التصحيح سوف لا تزال تظهر OpenSSL 1.0.1e 11 Feb 2013 كما يسمى التصحيح 1.0.1e-2. يمكنك التحقق مع dpkg -l openssl ويجب أن تظهر النسخة 1.0.1e-2+deb7u6 - jacksoncage
أقترح إعادة تشغيل المضيف بعد تحديث OpenSSL ، ليس لأنه ضروري للغاية ولكن لراحة البال على الأقل كل ما يقوم بتحميل مكتبات OpenSSL بشكل ديناميكي يستخدم الإصدار الجديد. (مرتبط بشكل ثابت هو أمر آخر.) ومع ذلك ، أدرك أنه لا يمكن إعادة تشغيل بعض الخوادم بسهولة في جميع الحالات التي قد تكون فيها إعادة تشغيل الخدمة مقبولة. - α CVn


أود أن أشير إلى أن المفاتيح الخاصة ليست الأصول الوحيدة التي يجب اعتبارها مخترقة. وقد علة التسرب أي تشغيل الذاكرة في نفس مساحة العنوان (أي نفس العملية) مثل OpenSSL. لذلك ، إذا كنت تقوم بتشغيل عملية خادم حيث يكون الإصدار الضعيف من OpenSSL مرتبطًا بشكل ثابت أو ديناميكي ، أي جزء من المعلومات التي تعاملت معها هذه العملية، بما في ذلك كلمات المرور وأرقام بطاقات الائتمان وغيرها من البيانات الشخصية ، يجب اعتبارها عرضة للاختراق.


9
2018-04-08 20:23





FreeBSD 10.0 أو بينسل من الموانئ

ال فريق الأمن فري أصدرت الاستشارات المتعلقة CVE-2014-0160 (المعروف أيضا باسم "Heartbleed") و: فري-SA-14: 06.openssl

  1. تحديث فري

    • تحديث FreeBSD عبر تصحيح ثنائي

      نظم تشغيل الإصدار من فري I386 أو AMD64 يمكن تحديث المنصات عبر أداة تحديث freebsd (8):

      # freebsd-update fetch
      # freebsd-update install
      
    • تحديث FreeBSD من المصادر

      1. قم بتنزيل التصحيح المناسب من الموقع أدناه ، وتحقق من توقيع PGP منفصل باستخدام أداة PGP الخاصة بك.

        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch
        # fetch http://security.FreeBSD.org/patches/SA-14:06/openssl-10.patch.asc
        # gpg --verify openssl-10.patch.asc
        
      2. تنفيذ الأوامر التالية كجذر:

        # cd /usr/src
        # patch < /path/to/patch
        
      3. إعادة ترجمة نظام التشغيل

        استخدام buildworld و installworld كما هو موضح في دليل FreeBSD.

  2. تحديث بينسل ميناء مع الحد الأدنى من الإصدار 1.0.1_10

  3. أعد تشغيل جميع daemons باستخدام المكتبة ، أو أعد تمهيد النظام

  4. التصرف كما لو تم اختراق النظام الخاص بك ، إعادة إصدار كافة مفاتيح ssl الخاصة بك و / أو الشهادات والمعلومات التي من المحتمل أن تكون تسربت (انظر جهاز شئون البيئة إجابة عامة أكثر).

FreeBSD 9.x و FreeBSD 8.x

هذه النظام هي ليس ضعيفا الى هارتبليد القضية بشكل افتراضي ، واعتمادا على إصدار 0.9.x الأقدم من بينسل مكتبة، ما لم قمت بتثبيت بينسل  من الموانئ (انظر في الطابق العلوي).

إذا كانت هذه الأنظمة ليست عرضة لل هارتبليد المشكلة ، قد يكون من الحكمة ترقية النظام الخاص بك بدلاً من ذلك لاحقًا بسبب آخر محلي الضعف (انظر فري-SA-14: 06.openssl و "FreeBSD 10.0" قسم الطابق العلوي):

قد يتمكن أحد المهاجمين المحليين من تلقي عملية توقيع وقد يتعافى   مفتاح التوقيع من ذلك. [CVE-2014-0076]

ملحوظة:

الأصلي هارتبليد قوائم المستشارين FreeBSD 8.4 و 9.1 بأنها عرضة للخطر. هذا ليس صحيحا بسبب عدم وجود تمديد نبضات (افتراضية مكتبة FreeBSD openssl قيد الإصدار 0.9.x).


9
2018-04-11 08:03





لقد وجدت أنه من المستحيل تحديد إصدارات SSL قيد الاستخدام على العديد من الأجهزة التي أعمل معها. على الرغم من أنه من الناحية الفنية ، لم يكن التخفيف من القدرة على تحديد هوية المضيفين المعرضين للخطر في أعلى القائمة.

قمت بتجميع جهاز VM صغير يقوم بإجراء عمليات فحص ضد المضيفين والموانئ العشوائية وحدة اختبار FiloSottile. من النظرة المبدئية ، تبدو الشفرة سليمة.

الافراج عن استكمال VM هو هنا. انها في شكل VMX.

كلمات تحذير

هذا البرنامج النصي وسوف VM فقط عرض الحالة الحالية لأنظمتك. من المحتمل تمامًا في وقت ما في الماضي أن تكون أنظمتك في وضع ضعيف ويمكن أن تكون قد تعرضت للإساءة.

شيء ما يظهر هنا هو بالتأكيد أولوية عالية لإصلاح لكنه يفعل ليس تخلّصك من تطبيق التحديثات وتغيير جميع مفاتيحك.


3



أنا فقط حصلت على بريد إلكتروني من Snapt ، لأنهم. السكين (أبقي على أطلاع) ! - Jacob


Amazon Amazon (توزيعة Linux المستخدمة في Amazon EC2)

https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

نظرة عامة على المشكلة: تم العثور على التحقق من الحدود المفقودة في طريقة معالجة OpenSSL لحزم تمديد TLS heartbeat. يمكن استخدام هذا الخلل للكشف عن 64 كيلو بايت من الذاكرة من عميل متصل أو خادم.

الإصدارات المتأثرة: يتم تثبيت أي Amazon Linux AMI الذي يتم فتحه 1.0.1 ، وهو أي Amazon Linux AMI 2013.03 أو أحدث ، وأي AMINE Linux AMI التي تمت ترقيتها إلى 2013.03 أو ما بعده. يتم تثبيت OpenSSL بشكل افتراضي على Amazon AMI AMI.

الحزم المتضررة: بينسل

تصحيح المشكلة: تشغيل yum update openssl لتحديث النظام الخاص بك. بمجرد تثبيت الحزمة الجديدة ، يجب عليك إما إعادة تشغيل كافة الخدمات التي تستخدم openssl يدوياً ، أو إعادة تشغيل المثيل الخاص بك. على الرغم من أن الحزمة الجديدة ما زالت تسمى openssl-1.0.1e ، إلا أنها تحتوي على الإصلاح الخاص بـ CVE-2014-0160.

الحزم الجديدة: i686:

openssl-1.0.1e-37.66.amzn1.i686

openssl-static-1.0.1e-37.66.amzn1.i686

openssl-perl-1.0.1e-37.66.amzn1.i686

openssl-devel-1.0.1e-37.66.amzn1.i686

openssl-debuginfo-1.0.1e-37.66.amzn1.i686

x86_64:

openssl-devel-1.0.1e-37.66.amzn1.x86_64

openssl-1.0.1e-37.66.amzn1.x86_64

openssl-debuginfo-1.0.1e-37.66.amzn1.x86_64

openssl-perl-1.0.1e-37.66.amzn1.x86_64

openssl-static-1.0.1e-37.66.amzn1.x86_64

2