صفحه 1 از 5 12345 آخرینآخرین
نمایش نتایج: از شماره 1 تا 10 , از مجموع 41

موضوع: مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

Hybrid View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. #1
    عضو انجمن secure_host آواتار ها
    تاریخ عضویت
    Nov 2008
    نوشته ها
    586
    تشکر تشکر کرده 
    171
    تشکر تشکر شده 
    1,382
    تشکر شده در
    508 پست

    Post مشکل امنیتی مهم و جدید در OpenSSL - Heartbleed

    مشکل امنیتی OpenSSL - heartbeat



    دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

    ۱- primary key
    ۲- secondary key
    ۳- protected content
    ۴- collateral

    اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
    اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
    اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
    اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

    باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
    کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

    حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
    Test your server for Heartbleed (CVE-2014-0160)

    در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


    ۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
    ۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
    ۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
    ۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

    کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)

    سیستم عامل های زیر نیز آسیب پذیر نمی باشد.

    Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    SUSE Linux Enterprise Server


    این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
    برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

    جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

    برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
    به جهت بروز رسانی به صورت زیر عمل کنید.
    ۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
    ۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
    ۳- سپس نصب نمایید.[LEFT]
    کد:
    cd /usr/src
    # wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
    # tar -xvzf openssl-1.0.1g.tar.gz
    # cd openssl-1.0.1g/
     
    #./config -DOPENSSL_NO_HEARTBEATS
    #make
    #make test
    #make install

    ویا می توانید از دستورات زیر استفاده نمایید.

    کد:
    #yum clean all
    #yum update openssl
    و کسانی که از litespeed استفاده می کنند . اقدام به بروز رسانی litespeed کنند.
    easyapache نیز با بروز رسانی پچ امنیتی جدید را نصب می کند.

    برای cloudlinux هم از دستورات زیر جهت برطرف نمودن مشکل امنیتی استفاده نمایید.
    کد:
    yum clean all
    yum update openssl
    cagefsctl --force-update
    /etc/init.d/httpd stop
    /etc/init.d/httpd start
    منبع :
    مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost

    بعد از آپدیت حتما سرور را ریبوت نمایید.

    در صورت برطرف شدن با پیغام
    All good, securehost.ir:443 seems not affected! در وب سایت Test your server for Heartbleed (CVE-2014-0160) مواجه می شوید.
    سایت خودمون برای مثال ذکر شده است.
    ویرایش توسط secure_host : April 10th, 2014 در ساعت 08:23
    ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
    My Crime Is My Advisory . Hacking Is The Best But Security Is The First

    The Best Secure Hosting in Iran http://SecureHost.ir

    جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host

  2. تعداد تشکر ها ازsecure_host به دلیل پست مفید


  3. #2
    عضو جدید e4lyas آواتار ها
    تاریخ عضویت
    Oct 2009
    نوشته ها
    26
    تشکر تشکر کرده 
    32
    تشکر تشکر شده 
    87
    تشکر شده در
    66 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    هاست پروایدرهای عزیز سریعا رفع کنند مشکل رو :|

    K nowledge IS P ower

  4. تعداد تشکر ها از e4lyas به دلیل پست مفید


  5. #3
    کاربر اخراج شده
    تاریخ عضویت
    Sep 2012
    محل سکونت
    ×
    نوشته ها
    460
    تشکر تشکر کرده 
    134
    تشکر تشکر شده 
    1,790
    تشکر شده در
    1,293 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    این قسمت به پست بالا اضافه کنید

    برای cloudlinux

    yum clean all
    yum update openssl
    cagefsctl --force-update
    /etc/init.d/httpd stop
    /etc/init.d/httpd start


    برای لایت اسپید به 4.2.9 ارتقا و کمپایل کنید.

  6. تعداد تشکر ها از i-whost به دلیل پست مفید


  7. #4
    عضو انجمن
    تاریخ عضویت
    May 2011
    نوشته ها
    123
    تشکر تشکر کرده 
    32
    تشکر تشکر شده 
    25
    تشکر شده در
    23 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    نقل قول نوشته اصلی توسط secure_host نمایش پست ها
    مشکل امنیتی OpenSSL - heartbeat



    دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

    ۱- primary key
    ۲- secondary key
    ۳- protected content
    ۴- collateral

    اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
    اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
    اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
    اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

    باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
    کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

    حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
    Test your server for Heartbleed (CVE-2014-0160)

    در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


    ۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
    ۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
    ۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
    ۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

    کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)

    سیستم عامل های زیر نیز آسیب پذیر نمی باشد.

    Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    SUSE Linux Enterprise Server


    این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
    برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

    جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

    برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
    به جهت بروز رسانی به صورت زیر عمل کنید.
    ۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
    ۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
    ۳- سپس نصب نمایید.[LEFT]
    کد:
    cd /usr/src
    # wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
    # tar -xvzf openssl-1.0.1g.tar.gz
    # cd openssl-1.0.1g/
     
    #./config -DOPENSSL_NO_HEARTBEATS
    #make
    #make test
    #make install

    منبع :
    مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost
    سلام دوست عزیز
    ممنون بابت اطلاع رسانیتون
    من آموزش شما رو قدم به قدم پیش رفتم اما ظاهرا مشکل حل نشده
    کاری هست که شما فراموش کرده باشید بگید ؟

  8. تعداد تشکر ها از x0r به دلیل پست مفید


  9. #5
    عضو انجمن secure_host آواتار ها
    تاریخ عضویت
    Nov 2008
    نوشته ها
    586
    تشکر تشکر کرده 
    171
    تشکر تشکر شده 
    1,382
    تشکر شده در
    508 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    بعد از بروز رسانی سرور را ریبوت نمایید.
    ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
    My Crime Is My Advisory . Hacking Is The Best But Security Is The First

    The Best Secure Hosting in Iran http://SecureHost.ir

    جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host

  10. تعداد تشکر ها از secure_host به دلیل پست مفید


  11. #6
    عضو انجمن
    تاریخ عضویت
    May 2011
    نوشته ها
    123
    تشکر تشکر کرده 
    32
    تشکر تشکر شده 
    25
    تشکر شده در
    23 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
    Test your server for Heartbleed (CVE-2014-0160)

  12. تعداد تشکر ها از x0r به دلیل پست مفید


  13. #7
    کاربر اخراج شده
    تاریخ عضویت
    Sep 2012
    محل سکونت
    ×
    نوشته ها
    460
    تشکر تشکر کرده 
    134
    تشکر تشکر شده 
    1,790
    تشکر شده در
    1,293 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    نقل قول نوشته اصلی توسط x0r نمایش پست ها
    ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
    Test your server for Heartbleed (CVE-2014-0160)

    سیستم عامل و وب سرور چی هست؟

  14. تعداد تشکر ها از i-whost به دلیل پست مفید


  15. #8
    عضو انجمن
    تاریخ عضویت
    May 2011
    نوشته ها
    123
    تشکر تشکر کرده 
    32
    تشکر تشکر شده 
    25
    تشکر شده در
    23 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    نقل قول نوشته اصلی توسط i-whost نمایش پست ها
    سیستم عامل و وب سرور چی هست؟
    Linux 2.6.32-431.11.2.el6.x86_64 #1 SMP Tue Mar 25 1955 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

    OpenSSL 1.0.1e-fips 11 Feb 2013

  16. تعداد تشکر ها از x0r به دلیل پست مفید


  17. #9
    عضو انجمن secure_host آواتار ها
    تاریخ عضویت
    Nov 2008
    نوشته ها
    586
    تشکر تشکر کرده 
    171
    تشکر تشکر شده 
    1,382
    تشکر شده در
    508 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    با سلام
    از دستور زیر استفاده کنید.
    #yum clean all
    #yum update openssl
    بعد از اعمال تغییرات ریبوت نمایید.
    باتشکر
    ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
    My Crime Is My Advisory . Hacking Is The Best But Security Is The First

    The Best Secure Hosting in Iran http://SecureHost.ir

    جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host

  18. تعداد تشکر ها از secure_host به دلیل پست مفید


  19. #10
    عضو انجمن
    تاریخ عضویت
    May 2011
    نوشته ها
    123
    تشکر تشکر کرده 
    32
    تشکر تشکر شده 
    25
    تشکر شده در
    23 پست

    پیش فرض پاسخ : مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

    نقل قول نوشته اصلی توسط secure_host نمایش پست ها
    با سلام
    از دستور زیر استفاده کنید.
    #yum clean all
    #yum update openssl
    بعد از اعمال تغییرات ریبوت نمایید.
    باتشکر

    خروجی دستورات
    کد PHP:
    root@ns4007428 [~]# yum clean all
    Loaded pluginsfastestmirror
    Cleaning repos
    base extras rpmforge updates
    Cleaning up Everything
    Cleaning up 
    list of fastest mirrors



    root
    @ns4007428 [~]# yum update openssl
    Loaded pluginsfastestmirror
    Determining fastest mirrors
     
    basecentos.mirror.rafal.ca
     
    extrascentos.mirror.rafal.ca
     
    rpmforgerepoforge.mirror.constant.com
     
    updatescentos.mirror.rafal.ca
    base                                                                                                    
    3.7 kB     00:00
    base
    /primary_db                                                                                         4.4 MB     00:00
    extras                                                                                                  
    3.4 kB     00:00
    extras
    /primary_db                                                                                       |  19 kB     00:00
    rpmforge                                                                                                
    1.9 kB     00:00
    rpmforge
    /primary_db                                                                                     7.0 MB     00:10
    updates                                                                                                 
    3.4 kB     00:00
    updates
    /primary_db                                                                                      2.6 MB     00:00
    Setting up Update Process
    No Packages marked 
    for Update 

  20. تعداد تشکر ها از x0r به دلیل پست مفید


صفحه 1 از 5 12345 آخرینآخرین

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. نحوه نصب openssl
    توسط kiava در انجمن سوالات و مشکلات
    پاسخ ها: 4
    آخرين نوشته: November 12th, 2016, 11:49
  2. باگ جدید Openssl برای امروز 27 خرداد 93
    توسط nimafire در انجمن مباحث و منابع آموزشی
    پاسخ ها: 9
    آخرين نوشته: June 18th, 2014, 13:37
  3. مشکل امنیتی جدید OpenSSL برای امروز تاریخ 15 خرداد ماه
    توسط nimafire در انجمن مباحث و منابع آموزشی
    پاسخ ها: 5
    آخرين نوشته: June 7th, 2014, 12:51
  4. راه اندازیvcenter heartbeat
    توسط baber در انجمن وی ام ور VMware
    پاسخ ها: 9
    آخرين نوشته: December 23rd, 2013, 11:19
  5. Heartbeat API چیست؟
    توسط amirbolouki در انجمن Wordpress
    پاسخ ها: 0
    آخرين نوشته: September 6th, 2013, 18:27

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •