مشکل امنیتی OpenSSL - heartbeat



دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

۱- primary key
۲- secondary key
۳- protected content
۴- collateral

اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
Test your server for Heartbleed (CVE-2014-0160) (http://filippo.io/Heartbleed/#openssl.org:443)

در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟


Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

سیستم عامل های زیر نیز آسیب پذیر نمی باشد.


Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server


این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.

[LEFT]
cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/

#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install

ویا می توانید از دستورات زیر استفاده نمایید.


#yum clean all
#yum update openssl

و کسانی که از litespeed استفاده می کنند . اقدام به بروز رسانی litespeed کنند.
easyapache نیز با بروز رسانی پچ امنیتی جدید را نصب می کند.

برای cloudlinux هم از دستورات زیر جهت برطرف نمودن مشکل امنیتی استفاده نمایید.

yum clean all
yum update openssl
cagefsctl --force-update
/etc/init.d/httpd stop
/etc/init.d/httpd start

منبع :
مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost (http://buy.securehost.ir/knowledgebase/7/--OpenSSL---heartbeat.html)

بعد از آپدیت حتما سرور را ریبوت نمایید.

در صورت برطرف شدن با پیغام
All good, securehost.ir:443 seems not affected! در وب سایت Test your server for Heartbleed (CVE-2014-0160) (http://filippo.io/Heartbleed/#securehost.ir:443) مواجه می شوید.
سایت خودمون برای مثال ذکر شده است.

هاست پروایدرهای عزیز سریعا رفع کنند مشکل رو :|

این قسمت به پست بالا اضافه کنید

برای cloudlinux

yum clean all
yum update openssl
cagefsctl --force-update
/etc/init.d/httpd stop
/etc/init.d/httpd start


برای لایت اسپید به 4.2.9 ارتقا و کمپایل کنید.

مشکل امنیتی OpenSSL - heartbeat



دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

۱- primary key
۲- secondary key
۳- protected content
۴- collateral

اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
Test your server for Heartbleed (CVE-2014-0160) (http://filippo.io/Heartbleed/#openssl.org:443)

در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟


Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

سیستم عامل های زیر نیز آسیب پذیر نمی باشد.


Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server


این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.

[LEFT]
cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/

#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install

منبع :
مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost (http://buy.securehost.ir/knowledgebase/7/--OpenSSL---heartbeat.html)

سلام دوست عزیز
ممنون بابت اطلاع رسانیتون
من آموزش شما رو قدم به قدم پیش رفتم اما ظاهرا مشکل حل نشده
کاری هست که شما فراموش کرده باشید بگید ؟

بعد از بروز رسانی سرور را ریبوت نمایید.

ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
Test your server for Heartbleed (CVE-2014-0160) (http://filippo.io/Heartbleed/)

ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
Test your server for Heartbleed (CVE-2014-0160) (http://filippo.io/Heartbleed/)


سیستم عامل و وب سرور چی هست؟

سیستم عامل و وب سرور چی هست؟

Linux 2.6.32-431.11.2.el6.x86_64 #1 SMP Tue Mar 25 19:59:55 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

OpenSSL 1.0.1e-fips 11 Feb 2013

با سلام
از دستور زیر استفاده کنید.
#yum clean all
#yum update openssl
بعد از اعمال تغییرات ریبوت نمایید.
باتشکر

با سلام
از دستور زیر استفاده کنید.
#yum clean all
#yum update openssl
بعد از اعمال تغییرات ریبوت نمایید.
باتشکر


خروجی دستورات


root@ns4007428 [~]# yum clean all
Loaded plugins: fastestmirror
Cleaning repos: base extras rpmforge updates
Cleaning up Everything
Cleaning up list of fastest mirrors



root@ns4007428 [~]# yum update openssl
Loaded plugins: fastestmirror
Determining fastest mirrors
* base: centos.mirror.rafal.ca
* extras: centos.mirror.rafal.ca
* rpmforge: repoforge.mirror.constant.com
* updates: centos.mirror.rafal.ca
base | 3.7 kB 00:00
base/primary_db | 4.4 MB 00:00
extras | 3.4 kB 00:00
extras/primary_db | 19 kB 00:00
rpmforge | 1.9 kB 00:00
rpmforge/primary_db | 7.0 MB 00:10
updates | 3.4 kB 00:00
updates/primary_db | 2.6 MB 00:00
Setting up Update Process
No Packages marked for Update

یکبار کمپایل کنید روی Cpanel
نیاز به ریبوت نیست

چطوری باید رو cpanel کامپایل کنم ؟

خروجی دستورات


root@ns4007428 [~]# yum clean all
Loaded plugins: fastestmirror
Cleaning repos: base extras rpmforge updates
Cleaning up Everything
Cleaning up list of fastest mirrors



root@ns4007428 [~]# yum update openssl
Loaded plugins: fastestmirror
Determining fastest mirrors
* base: centos.mirror.rafal.ca
* extras: centos.mirror.rafal.ca
* rpmforge: repoforge.mirror.constant.com
* updates: centos.mirror.rafal.ca
base | 3.7 kB 00:00
base/primary_db | 4.4 MB 00:00
extras | 3.4 kB 00:00
extras/primary_db | 19 kB 00:00
rpmforge | 1.9 kB 00:00
rpmforge/primary_db | 7.0 MB 00:10
updates | 3.4 kB 00:00
updates/primary_db | 2.6 MB 00:00
Setting up Update Process
No Packages marked for Update



باسلام
repository ها را تغییر بدید مشکل حل میشه.
با تشکر

من هم از ssh و هم از easy apche اپگرید کردم ولی اون لینکی که شما دادید چک کنم باز درست نشد ! :) و
IS VULNERABLE....

برای رفع این مشکل فقط کافیه openssl رو آپدیت کنید ؛ بعد یک SSL certificate جدید بسازید،در انتها هم آپاچی رو ریستارت کنید (روش توسط خود بنده تست شده)


آموزش ساخت SSL certificate روی Centos
https://www.digitalocean.com/community/articles/how-to-create-a-ssl-certificate-on-apache-for-centos-6

آموزش ساخت SSL certificate روی Ubuntu
https://www.digitalocean.com/community/articles/how-to-create-a-ssl-certificate-on-apache-for-ubuntu-12-04

همجا نوشته شده این باگ برای سرور های لینوکسی هست! الان من ای پی سرور ویندوز خودم رو در سایتی که تست این باگ را انجام میده وارد کردم و نتیجه سرور را دارای این باگ تشخیص داد!!
مشکل کجاست؟ اگر برای ویندوزی هم هست جهت رفع آن باید چیکار انجام داد؟

سلام
روی centos فقط اپدیت کنید بعد اپاچی رو ری استارت کنید مشکل حل میشه
برای لایت اسپیئ نیاز دارید حتما اپدیت کنید لایست اسپید رو بعد ااز ریست شدن لایت اسپید اررور رفع میشه

درود
تمام مراحل رو انجام دادم ولی بازهم مشکل امنیتی موجد هست به گفته ی سایت مذکور
ورژن جدیدتری وجود نداره احیانا ؟

درود
تمام مراحل رو انجام دادم ولی بازهم مشکل امنیتی موجد هست به گفته ی سایت مذکور
ورژن جدیدتری وجود نداره احیانا ؟

با آپدیت حل میشود و شاید سایتی که برای چک دادن درست نمیشود.

با سلام
از آنجایی که همکاران محترم از طریق پیفام خصوصی در خواست کمک کرده بوده اند.
از همین جا به تمام همکاران اعلام می کنم که در صورتی که نیاز به کمک در این مورد دارید. لطفا به آدرس صفحه اصلی پورتال - SecureHost (http://buy.securehost.ir/submitticket.php?step=2&deptid=2) رفته و تیکت درخواست کمک خود را به بخش امنیت این مجموعه ارسال نمایید.
با توجه به این که فردا جمعه است و لود کاری کمتری داریم .لذا می توانیم مشکلات امنیتی مذکور را برطرف نماییم.
با تشکر

Uh-oh, something went wrong: tls: oversized record received with length 20527
Check what it means at the FAQ (http://filippo.io/Heartbleed/faq.html#wentwrong).
It might mean that the server is safe, we just can't be 100% sure! این به معنی اوکی بودنه؟؟؟

با سلام
خیر . این به معنی است که سرور شما همچنان آسیب پذیر می باشد.
با تشکر

با سلام
این نسخه آسیب پذیر است ؟‌
OpenSSL 1.0.1e-fips 11 Feb 2013

باتشکر

yum update openssl کار نمیده.

repository هارو چه جور باید تغییر داد؟

کسی نیست مارو راهنمایی کنه یعنی؟

منم مشکل توی رفع کردن این مشکل داشتم. به استارتر تاپیک گفتم برام برطرف کرد.
به شما هم پیشنهاد می کنم به دلیل خطرناک بودن این مشکل ، بهتره به همکارانی که مشکل را برطرف کنند مثل کاربر Secure_Host (http://www.webhostingtalk.ir/member/165/) مراجعه کنید تا براتون مشکل رو برطرف کنند.
حداقل مشکل امنیتی نداشته باشید. بعد دنبال آموزشش باشید.
من برای چند تا سرور م این کارو کردم.

درود. عزیزان یعنی کلا همه چی تو پول خلاصه شده/؟ مشکل من یه
yum update openssl هست که جواب نمیده........ از اون روش اول هم رفتم ورژن شده OpenSSL 1.0.1g 7 Apr 2014
اما هنوز من این باگ رو دارم..... یعنی گفتن دوتا دستور 25 هزارتومن؟؟؟؟ به استارتر عزیز هم مراجعه کردم گفتن 25 هزارتومن گرفته میشه رفع میشه..... اکی من 25 هزارتومن میدم اما مشکل کارم رو بگید لااقل ببینم مشکلم از کجاست

دوست عزیز کمی جستجو کنید تا خودتان به نتیجه دلخواه برسید

برای اضافه کردن مخازن RPMForge به 6 centos به شکل زیر عمل کنید :



## RHEL/CentOS 6 32 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm
# rpm -Uvh rpmforge-release-0.5.2-2.el6.rf.i686.rpm


## RHEL/CentOS 6 64 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm



centos ورژن 5 هم به شکل زیر عمل کنید





## RHEL/CentOS 5 32 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.i386.rpm


## RHEL/CentOS 5 64 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm




centos 4 :



## RHEL/CentOS 4 32 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el4.rf.i386.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el4.rf.i386.rpm


## RHEL/CentOS 4 64 Bit OS ##
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el4.rf.x86_64.rpm
rpm -Uvh rpmforge-release-0.5.2-2.el4.rf.x86_64.rpm




و در آخر برای اضافه کردن key از دستورات زیر استفاده کنید




wget http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt
rpm --import RPM-GPG-KEY.dag.txt




حالا میتونید با کامند yum update openssl از ورژن جدید این سرویس بهره مند شوید



منبع :‌http://www.tecmint.com/install-and-enable-rpmforge-repository-in-rhel-centos-6-5-4/

موفق باشید

ممنون داداش اما همچنان ارور no packages marked for update وجود داره. اخه سر در نمیارم مگه نباید تو این نسخه باگ
OpenSSL 1.0.1g 7 Apr 2014 نباشه؟؟؟؟ پس چرا واسه من هنوز هست

احتمالا از ورژن ۵ استفاده میکنید
دستورات زیر را یزنید .




rpm -ivh --nosignature http://rpm.axivo.com/redhat/axivo-release-5-1.noarch.rpm
yum --enablerepo=axivo update openssl



پس از اتمام برای چک کردن نسخه openssl از کامند rpm -q openssl استفاده کنید

centos 6.5 هست برا من. منظورتون ورژن centos?

هنوز باگ موجود هست. من موندم دیگه چیکار کنم

ورژن 6 که مشکلی ندارد .
قسمت update فایل /etc/yum.repos.d/CentOS-Base.repo را چک کنید ببینید فعال هست ؟

بفرمایید.
http://www.xum.ir/images/2014/04/17/ssss.png
یعنی این باگ مارو کچل کرد :| اخرم نفهمیدم چرا پچ نمیشه

enabled=1 اضافه کنید و # ابتدای baseurl را ردارید سپس به ترتیب yum clean all و yum update و yum update openssl را بزنید .
اگر با تمام این تفاسیر به هر دلیل ی باز اپدیت نشد از پکیج های rpm openssl Download (DEB, RPM, TXZ, XZ) (http://pkgs.org/download/openssl) با توجه به ورژن و معماری لینوکستون انتخاب و با کامند rpm -Uvh نصب کنید

نصب کردم اینکارایی که گفتید هم کردم اما همچنان همون مشکل هست:| من دیگه واقعا مخم نمیکشه

با سلام
لطفا دسترسی ارسال نمایید تا مشکل برطرف گردد.
با تشکر

تاپیک جدید

http://www.webhostingtalk.ir/f252/115202/#post1094474

صرفا جهت افزایش اطلاعات . heartbleed بود این نقطه ضعف نه heartbeat

صرفا جهت افزایش اطلاعات . heartbleed بود این نقطه ضعف نه heartbeat
جسارتا، اگه به عنوان تاپیک نگاه کنید، استارتر فرمودن که باگ در heartbeat و OpenSSL
heartbleed باگی بود که در اکستنشن heartbeat وجود داشت.
پس عبارت باگ در heartbleed جور در نمیاد! همون عبارتی که استارتر استفاده کردن درسته.

Heartbleed results from improper input validation (due to a missing bounds check) in the implementation of the TLS heartbeat extension,[3] the heartbeat being the basis for the bug's name.[4] The vulnerability is classified as a buffer over-read,[5] a situation where software allows more data to be read than should be allowed.[6]


Heartbleed - Wikipedia, the free encyclopedia (http://en.wikipedia.org/wiki/Heartbleed)

جسارتا، اگه به عنوان تاپیک نگاه کنید، استارتر فرمودن که باگ در heartbeat و OpenSSL
heartbleed باگی بود که در اکتنشن heartbeat وجود داشت.
پس عبارت باگ در heartbleed جور در نمیاد! همون عبارتی که استارتر استفاده کردن درسته.

Heartbleed - Wikipedia, the free encyclopedia (http://en.wikipedia.org/wiki/Heartbleed)

ضمن پوزش بنده فکر کردم عنوان این باگ heartbeat نام برده شده. درست است این باگ در فانکشن heartbeat tls وجود داره.
ممنون.