مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

[secure_host]

مشکل امنیتی OpenSSL - heartbeat



دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

۱- primary key
۲- secondary key
۳- protected content
۴- collateral

اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
Test your server for Heartbleed (CVE-2014-0160)

در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

سیستم عامل های زیر نیز آسیب پذیر نمی باشد.

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.[LEFT]

کد:

cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
 
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install

ویا می توانید از دستورات زیر استفاده نمایید.

کد:

#yum clean all
#yum update openssl

و کسانی که از litespeed استفاده می کنند . اقدام به بروز رسانی litespeed کنند.
easyapache نیز با بروز رسانی پچ امنیتی جدید را نصب می کند.

برای cloudlinux هم از دستورات زیر جهت برطرف نمودن مشکل امنیتی استفاده نمایید.

کد:

yum clean all
yum update openssl
cagefsctl --force-update
/etc/init.d/httpd stop
/etc/init.d/httpd start

منبع :
مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost

بعد از آپدیت حتما سرور را ریبوت نمایید.

در صورت برطرف شدن با پیغام
All good, securehost.ir:443 seems not affected! در وب سایت Test your server for Heartbleed (CVE-2014-0160) مواجه می شوید.
سایت خودمون برای مثال ذکر شده است.

[e4lyas]

هاست پروایدرهای عزیز سریعا رفع کنند مشکل رو :|

[i-whost]

این قسمت به پست بالا اضافه کنید

برای cloudlinux

yum clean all
yum update openssl
cagefsctl --force-update
/etc/init.d/httpd stop
/etc/init.d/httpd start


برای لایت اسپید به 4.2.9 ارتقا و کمپایل کنید.

[x0r]

مشکل امنیتی OpenSSL - heartbeat



دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

۱- primary key
۲- secondary key
۳- protected content
۴- collateral

اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
Test your server for Heartbleed (CVE-2014-0160)

در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

سیستم عامل های زیر نیز آسیب پذیر نمی باشد.

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.[LEFT]

کد:

cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
 
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install

منبع :
مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost

سلام دوست عزیز
ممنون بابت اطلاع رسانیتون
من آموزش شما رو قدم به قدم پیش رفتم اما ظاهرا مشکل حل نشده
کاری هست که شما فراموش کرده باشید بگید ؟

[secure_host]

بعد از بروز رسانی سرور را ریبوت نمایید.

[x0r]

ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
Test your server for Heartbleed (CVE-2014-0160)

[i-whost]

ریبوت زدم اما این سایت بازم نشون میده خطا وجود داره
Test your server for Heartbleed (CVE-2014-0160)

سیستم عامل و وب سرور چی هست؟

[x0r]

سیستم عامل و وب سرور چی هست؟

Linux 2.6.32-431.11.2.el6.x86_64 #1 SMP Tue Mar 25 1955 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

OpenSSL 1.0.1e-fips 11 Feb 2013

[secure_host]

با سلام
از دستور زیر استفاده کنید.
#yum clean all
#yum update openssl
بعد از اعمال تغییرات ریبوت نمایید.
باتشکر

[x0r]

با سلام
از دستور زیر استفاده کنید.
#yum clean all
#yum update openssl
بعد از اعمال تغییرات ریبوت نمایید.
باتشکر

خروجی دستورات

کد PHP:

root@ns4007428 [~]# yum clean all
Loaded plugins: fastestmirror
Cleaning repos: base extras rpmforge updates
Cleaning up Everything
Cleaning up list of fastest mirrors



root@ns4007428 [~]# yum update openssl
Loaded plugins: fastestmirror
Determining fastest mirrors
 * base: centos.mirror.rafal.ca
 * extras: centos.mirror.rafal.ca
 * rpmforge: repoforge.mirror.constant.com
 * updates: centos.mirror.rafal.ca
base                                                                                                    | 3.7 kB     00:00
base/primary_db                                                                                         | 4.4 MB     00:00
extras                                                                                                  | 3.4 kB     00:00
extras/primary_db                                                                                       |  19 kB     00:00
rpmforge                                                                                                | 1.9 kB     00:00
rpmforge/primary_db                                                                                     | 7.0 MB     00:10
updates                                                                                                 | 3.4 kB     00:00
updates/primary_db                                                                                      | 2.6 MB     00:00
Setting up Update Process
No Packages marked for Update