zartosht
April 12th, 2014, 14:24
در تاریخ فروردین ۱8م, ۱۳۹۳ (حفره) امنیتی جدیدی در هسته کتابخانههای مورد نیاز SSL منتشر شدهاست که باعث میشود تا اطلاعات ذخیره شده در Memory سرویس دهنده و سرویس گیرنده با حجم۶۴ کیلوبایت و یا بیشتر فاش شود.
http://blog.iranserver.com/wp-content/uploads/2014/04/SSL-Heartbleed-300x200.jpg (http://filippo.io/Heartbleed/#openssl.org:443)
اطلاعاتی که در Memory سرویس دهنده و گیرنده ذخیره میشوند عبارتند از:
۱- Primary key
۲- Secondary key
۳- Protected content
۴- Collateral
۱- primary key: اطلاعات موجود در Primary key عبارتند از: «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیکهای گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد.
۲- secondary key: اطلاعات ذخیره شده در Secondary key عبارتند از: «اطلاعات مربوطه به اعتبارسنجیها»، میتوان نامهای کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
۳- Protected content: اطلاعات موجود در Protected content عبارتند از: «محتوای ایمیلها، عکسها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل میتواند به این اطلاعات دسترسی داشته باشد.
۴- Collateral: اطلاعات ذخیره شده در Collateral عبارتند از: «اطلاعات مربوط به Memory» که میتوان جزییات فنی نظیر آدرس حافظه، مکانیزمهای امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره را در این قسمت مشاهده نمود.
کدام نسخههای OpenSSL نسبت به این حفره آسیبپذیر است؟
نسخههای OpenSSL و آسیبپذیری آنها
نسخه
آسیبپذیر است؟
OpenSSL 1.0.1 through 1.0.1f (inclusive)
میباشد
OpenSSL 1.0.1g
نمیباشد
OpenSSL 1.0.0 branch
نمیباشد
OpenSSL 0.9.8 branch
نمیباشد
کدام سیستمعاملها نسبت به این حفره آسیبپذیر است؟
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
CentOS 6.5, OpenSSL 1.0.1e-15
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Fedora 18, OpenSSL 1.0.1e-4
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
NetBSD 5.0.2 (OpenSSL 1.0.1e)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
OpenSUSE 12.2 (OpenSSL 1.0.1c)
سیستمعاملهای زیر آسیب پذیر نیست.
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
SUSE Linux Enterprise Server
این باگ ابتدا در December 2011 شناسایی و اعلام شد. در نسخه ۱.۰.۱ مشکل برطرف گردید، اما در تاریخ April 7, 2014 توسط Neel Mehta از تیم امنیتی گوگل مجددا شناسایی و کشف شد.
راهحلهای مقابله با Heartbleed:
باتوجه به این که این مشکل در Extensionهای اصلی SSL به نام HEARTBEATS به وجود آمده و در نسخهی ۱٫۰٫۱g و جدیدتر برطرف شدهاست، بهتر است نسخههای قدیمیتر OpenSSL را بروزرسانی کنید.
همچنین برای برطرف نمودن مشکل باید OpenSSL را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
برای بروزرسانی نسخه OpenSSL مراحل زیر را طی نمایید:
۱- نسخه جدید را از سایت OpenSSL دانلود نمایید.
۲- سپس از حالت فشرده خارج نموده و تنظیم نمایید.
۳- سپس به کمک دستورات زیر نصب نمایید.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install
برای بروزرسانی میتوانید از دستورات زیر نیز استفاده نمایید.
1
2
#yum clean all
#yum update openssl
توجه داشته باشید که پس از نصب حتما سرور را Reboot نمایید. برای بررسی برطرف شدن مشکل میتوانید به این صفحه (http://filippo.io/Heartbleed/) مراجعه نمایید. چنانچه مشکل برطرف شده باشد پیغام «All good, YourDomain.com:443 seems not affected!» نمایش داده خواهد شد.
http://blog.iranserver.com/wp-content/uploads/2014/04/SSL-Heartbleed-checking.jpg (http://filippo.io/Heartbleed)
منبع : حفره امنیتی SSL Heartbleed و راه مقابله با آن - ایران سرور (http://blog.iranserver.com/ssl-heartbleed-bug/)
http://blog.iranserver.com/wp-content/uploads/2014/04/SSL-Heartbleed-300x200.jpg (http://filippo.io/Heartbleed/#openssl.org:443)
اطلاعاتی که در Memory سرویس دهنده و گیرنده ذخیره میشوند عبارتند از:
۱- Primary key
۲- Secondary key
۳- Protected content
۴- Collateral
۱- primary key: اطلاعات موجود در Primary key عبارتند از: «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیکهای گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد.
۲- secondary key: اطلاعات ذخیره شده در Secondary key عبارتند از: «اطلاعات مربوطه به اعتبارسنجیها»، میتوان نامهای کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
۳- Protected content: اطلاعات موجود در Protected content عبارتند از: «محتوای ایمیلها، عکسها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل میتواند به این اطلاعات دسترسی داشته باشد.
۴- Collateral: اطلاعات ذخیره شده در Collateral عبارتند از: «اطلاعات مربوط به Memory» که میتوان جزییات فنی نظیر آدرس حافظه، مکانیزمهای امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره را در این قسمت مشاهده نمود.
کدام نسخههای OpenSSL نسبت به این حفره آسیبپذیر است؟
نسخههای OpenSSL و آسیبپذیری آنها
نسخه
آسیبپذیر است؟
OpenSSL 1.0.1 through 1.0.1f (inclusive)
میباشد
OpenSSL 1.0.1g
نمیباشد
OpenSSL 1.0.0 branch
نمیباشد
OpenSSL 0.9.8 branch
نمیباشد
کدام سیستمعاملها نسبت به این حفره آسیبپذیر است؟
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
CentOS 6.5, OpenSSL 1.0.1e-15
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Fedora 18, OpenSSL 1.0.1e-4
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
NetBSD 5.0.2 (OpenSSL 1.0.1e)
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
OpenSUSE 12.2 (OpenSSL 1.0.1c)
سیستمعاملهای زیر آسیب پذیر نیست.
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
http://blog.iranserver.com/wp-content/uploads/2014/03/ico-meta.gif
SUSE Linux Enterprise Server
این باگ ابتدا در December 2011 شناسایی و اعلام شد. در نسخه ۱.۰.۱ مشکل برطرف گردید، اما در تاریخ April 7, 2014 توسط Neel Mehta از تیم امنیتی گوگل مجددا شناسایی و کشف شد.
راهحلهای مقابله با Heartbleed:
باتوجه به این که این مشکل در Extensionهای اصلی SSL به نام HEARTBEATS به وجود آمده و در نسخهی ۱٫۰٫۱g و جدیدتر برطرف شدهاست، بهتر است نسخههای قدیمیتر OpenSSL را بروزرسانی کنید.
همچنین برای برطرف نمودن مشکل باید OpenSSL را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
برای بروزرسانی نسخه OpenSSL مراحل زیر را طی نمایید:
۱- نسخه جدید را از سایت OpenSSL دانلود نمایید.
۲- سپس از حالت فشرده خارج نموده و تنظیم نمایید.
۳- سپس به کمک دستورات زیر نصب نمایید.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install
برای بروزرسانی میتوانید از دستورات زیر نیز استفاده نمایید.
1
2
#yum clean all
#yum update openssl
توجه داشته باشید که پس از نصب حتما سرور را Reboot نمایید. برای بررسی برطرف شدن مشکل میتوانید به این صفحه (http://filippo.io/Heartbleed/) مراجعه نمایید. چنانچه مشکل برطرف شده باشد پیغام «All good, YourDomain.com:443 seems not affected!» نمایش داده خواهد شد.
http://blog.iranserver.com/wp-content/uploads/2014/04/SSL-Heartbleed-checking.jpg (http://filippo.io/Heartbleed)
منبع : حفره امنیتی SSL Heartbleed و راه مقابله با آن - ایران سرور (http://blog.iranserver.com/ssl-heartbleed-bug/)