Böcek, Heartbleed olarak bilinir .
Korunmasız mıyım?
Genellikle, bir noktada bir SSL anahtarı oluşturduğunuz bir sunucuyu çalıştırırsanız etkilenirsiniz. Çoğu son kullanıcı (doğrudan) etkilenmez; en azından Firefox ve Chrome OpenSSL kullanmıyor. SSH etkilenmez. Ubuntu paketlerinin dağıtımı etkilenmez (GPG imzalarına dayanır).
OpenSSL sürüm 1.0-1.0.1f kullanan herhangi bir tür sunucu çalıştırırsanız (hata keşfedildiğinden beri eklenmiş olan sürümler hariç) korunmasız kalırsınız. Etkilenen Ubuntu sürümleri 14.04 güvenilir ön sürümünden 11.10 oneiric. Bu bir uygulama hatasıdır, protokoldeki bir kusur değildir, bu nedenle yalnızca OpenSSL kütüphanesini kullanan programlar etkilenir. OpenSSL'nin eski 0.9.x sürümüne karşı bağlı bir programınız varsa, etkilenmez. Yalnızca SSL protokolünü uygulamak için OpenSSL kütüphanesini kullanan programlar etkilenir; OpenSSL’yi başka şeyler için kullanan programlar etkilenmez.
İnternete açık, güvenlik açığı bulunan bir sunucuyu çalıştırdıysanız, kayıtlarınız 2014-04-07 tarihinde yapılan duyurudan bu yana hiçbir bağlantı göstermediği sürece tehlikeye girdiğini düşünün. (Bu, güvenlik açığının duyurulmadan önce yararlanılmadığını varsayar.) Sunucunuz yalnızca şirket içinde açığa çıkarsa, anahtarları değiştirmeniz gerekip gerekmediği, başka hangi güvenlik önlemlerinin alındığına bağlı olacaktır.
Etkisi nedir?
Hata, SSL sunucunuza bağlanabilen herhangi bir istemcinin sunucudan yaklaşık 64kB bellek almasını sağlar. Müşterinin hiçbir şekilde kimliğinin doğrulanması gerekmez. Saldırıyı tekrarlayarak, müşteri art arda denemelerde belleğin farklı kısımlarını atabilir.
Saldırganın alabileceği kritik veri parçalarından biri, sunucunun SSL özel anahtarıdır. Bu verilerle, saldırgan sunucunuzu taklit edebilir.
Bir sunucuda nasıl kurtarırım?
Etkilenen tüm sunucuları çevrimdışı duruma getirin. Çalıştıkları sürece, kritik verilerden potansiyel olarak sızıntı yapıyorlar.
libssl1.0.0
Paketi yükseltin ve etkilenen tüm sunucuların yeniden başlatıldığından emin olun.
Etkilenen işlemlerin hala `` grep 'libssl ile çalışıp çalışmadığını kontrol edebilirsiniz. (silindi) '/ proc / / maps`
Yeni anahtarlar üret . Bu gereklidir, çünkü hata bir saldırganın eski özel anahtarı edinmesine izin vermiş olabilir. İlk başta kullandığınız aynı prosedürü izleyin.
- Bir sertifika yetkilisi tarafından imzalanmış sertifikalar kullanıyorsanız, yeni ortak anahtarlarınızı CA'nıza gönderin. Yeni sertifikayı aldığınızda sunucunuza yükleyin.
- Kendinden imzalı sertifikalar kullanıyorsanız, sunucunuza yükleyin.
- Her iki durumda da eski anahtarları ve sertifikaları yoldan çıkarın (ancak bunları silmeyin, artık kullanılmadıklarından emin olun).
Artık ödün vermeyen yeni anahtarlara sahip olduğunuzdan, sunucunuzu tekrar çevrimiçi duruma getirebilirsiniz .
Eski sertifikaları iptal et .
Hasar değerlendirmesi : SSL bağlantıları sunan bir işlemin hafızasında yer alan veriler sızdırılmış olabilir. Bu kullanıcı şifrelerini ve diğer gizli verileri içerebilir. Bu verilerin ne olabileceğini değerlendirmeniz gerekir.
- Parola doğrulamasına izin veren bir hizmet kullanıyorsanız, güvenlik açığının açıklanmasından çok az bir süre önce bağlantı kuran kullanıcıların parolalarını tehlikeye atmış sayılmalıdır. (Bir süre önce, şifre bir süre bellekte kullanılmamış kaldığı için.) Günlüklerinizi kontrol edin ve etkilenen kullanıcıların şifrelerini değiştirin.
- Ayrıca, tüm oturum çerezlerini tehlikeye atmış olabileceği için geçersiz kılar.
- Müşteri sertifikaları ödün verilmez.
- Güvenlik açığından çok az zaman önce paylaşılan veriler sunucunun hafızasında kalmış olabilir ve bu nedenle bir saldırgana sızdırılmış olabilir.
- Birisi eski bir SSL bağlantısı kaydettiyse ve sunucunuzun anahtarlarını aldıysa, artık transkriptlerini deşifre edebilirler. ( PFS sağlanmadığı sürece - bilmiyorsanız, olmadı.)
Bir müşteride nasıl iyileşirim?
İstemci uygulamalarının etkilendiği yalnızca birkaç durum vardır. Sunucu tarafındaki sorun, herkesin bir sunucuya bağlanabilmesi ve böceği kullanmasıdır. Bir müşteriden yararlanmak için üç şartın yerine getirilmesi gerekir:
- İstemci programı, SSL protokolünü uygulamak için OpenSSL kütüphanesinin buggy versiyonunu kullandı.
- İstemci kötü amaçlı bir sunucuya bağlı. (Örneğin, bir e-posta sağlayıcısına bağlandıysanız, bu bir endişe değildir.) Bu, sunucu sahibi bu güvenlik açığından haberdar olduktan sonra gerçekleşti, muhtemelen 2014-04-07 sonrasında.
- İstemci işleminde bellekte sunucuyla paylaşılmayan gizli veriler vardı. (Yani sadece
wget
bir dosyayı indirmek için koştuysanız, sızdıracak veri yoktu.)
Bunu UTC 2014-04-07 akşamları arasında ve OpenSSL kütüphanenizi yükseltmek arasında yaptıysanız, istemci işleminin hafızasında bulunan verileri tehlikeye sokacak şekilde düşünün.
Referanslar