CVE-2014-0160 aka Heartbleed , OpenSSL'deki bir güvenlik açığıdır. Korkutucu görünüyor.
Etkilenip etkilenmediğimi nasıl belirlerim?
Etkilenirsem ne yapmam gerekir? Görünüşe göre yükseltme yeterli değil.
CVE-2014-0160 aka Heartbleed , OpenSSL'deki bir güvenlik açığıdır. Korkutucu görünüyor.
Etkilenip etkilenmediğimi nasıl belirlerim?
Etkilenirsem ne yapmam gerekir? Görünüşe göre yükseltme yeterli değil.
Yanıtlar:
Bu güvenlik açığı yüksek bir potansiyel etkiye sahiptir, çünkü sisteminize saldırıya uğradıysa, yamadan sonra bile savunmasız kalır ve saldırılar günlüklerde iz bırakmamış olabilir. Çabucak yatarsanız ve yüksek profilli bir hedef değilseniz, size saldırmak için kimsenin bulamayacağı, ancak emin olmak zor.
Buggy yazılımı, 1.0.1f'ye kadar olan 1.0.1 OpenSSL kitaplığı ve beta1'e kadar olan OpenSSL 1.0.2'dir . Eski sürümler (0.9.x, 1.0.0) ve hatanın giderildiği sürümler (1.0.1g ve sonrasında 1.0.2 beta 2) etkilenmez. Bu bir uygulama hatasıdır, protokoldeki bir kusur değildir, bu nedenle yalnızca OpenSSL kütüphanesini kullanan programlar etkilenir.
openssl version -a
OpenSSL sürüm numarasını görüntülemek için komut satırı aracını kullanabilirsiniz. Bazı dağıtımların hata düzeltmesini önceki sürümlere taşıdığını unutmayın; Paketinizin değişiklik günlüğünde Heartbleed hata düzeltmesi belirtiliyorsa, 1.0.1f gibi bir sürüm görseniz bile sorun değil. Eğer openssl version -a
akşam UTC ya da geç etrafında 2014-04-07 birikimi tarihini (değil ilk satırda tarih) bahseder, ince olmalıdır. OpenSSL paketi olabileceğini not 1.0.0
onun içinde adı halde versiyon 1.0.1 ( 1.0.0
ikili uyumluluğu anlamına gelmektedir).
Arama, SSL bağlantılarını uygulamak için OpenSSL kütüphanesini kullanan bir uygulama aracılığıyla gerçekleştirilir . Birçok uygulama diğer şifreleme hizmetleri için OpenSSL kullanıyor ve sorun değil: Hata, SSL protokolünün belirli bir özelliği olan "kalp atışı" nın uygulanmasında.
Hangi programların sisteminizdeki kitaplığa bağlandığını kontrol etmek isteyebilirsiniz. Dpkg ve apt (Debian, Ubuntu, Mint,…) kullanan sistemlerde, aşağıdaki komut, kullanılan kütüphanelerin dışındaki kurulu paketleri listeler libssl1.0.0
(etkilenen paket):
apt-cache rdepends libssl1.0.0 | tail -n +3 |
xargs dpkg -l 2>/dev/null | grep '^ii' | grep -v '^ii lib'
Bu listede bulunan ve SSL bağlantılarını dinleyen bazı sunucu yazılımları çalıştırıyorsanızMuhtemelen etkilendin. Bu, web sunucuları, e-posta sunucuları, VPN sunucuları, vb. İle ilgilidir. SSL'yi etkinleştirdiğinizi bileceksiniz, çünkü bir sertifika yetkilisine bir sertifika imzalama isteği göndererek veya kendinizin imzasını alarak bir sertifika oluşturmak zorundasınız. belgesi. (Bazı kurulum prosedürlerinin siz fark etmeden kendinden imzalı bir sertifika üretmiş olması mümkündür, ancak bu genellikle internete maruz kalan sunucular için değil, yalnızca dahili sunucular için yapılır.) Kayıtlarınız 2014-04-07 tarihinde yapılan duyurudan bu yana hiçbir bağlantı göstermediği sürece. (Bu, güvenlik açığının duyurulmadan önce yararlanılmadığını varsayar.) Sunucunuz yalnızca dahili olarak ortaya çıkarsa,
İstemci yazılımı yalnızca kötü amaçlı bir sunucuya bağlanmak için kullandıysanız etkilenir. Bu nedenle, IMAPS kullanarak e-posta sağlayıcınıza bağlandıysanız, endişelenmenize gerek yoktur (sağlayıcıya saldırıya uğramazsa - ancak bu durumda size bildirmeleri gerekir), ancak savunmasız bir tarayıcıya sahip rastgele web sitelerine göz attıysanız, endişelenmek. Bu güvenlik açığından henüz keşfedilmeden önce yararlanılmadığı anlaşılıyor, bu nedenle yalnızca 2014-04-08'den beri kötü amaçlı sunuculara bağlandığınızda endişelenmeniz gerekiyor.
Aşağıdaki programlar etkilenmez, çünkü SSL uygulamak için OpenSSL kullanmazlar:
Hata, SSL sunucunuza bağlanabilen herhangi bir istemcinin bir seferde sunucudan yaklaşık 64kB bellek almasını sağlar. Müşterinin hiçbir şekilde kimliğinin doğrulanması gerekmez. Saldırıyı tekrarlayarak, müşteri art arda denemelerde belleğin farklı kısımlarını atabilir. Bu, saldırganın, anahtarlar, şifreler, çerezler vb. Dahil olmak üzere sunucu işleminin belleğindeki tüm verileri almasını sağlar.
Saldırganın alabileceği kritik veri parçalarından biri, sunucunun SSL özel anahtarıdır. Bu verilerle, saldırgan sunucunuzu taklit edebilir.
Bu hata aynı zamanda SSL istemcinizin bağlı olduğu herhangi bir sunucunun bir seferde istemciden yaklaşık 64kB bellek almasını sağlar. Hassas verileri işlemek için savunmasız bir istemci kullandıysanız ve daha sonra aynı istemciyle güvenilmeyen bir sunucuya bağladıysanız bu endişe vericidir. Bu nedenle, bu taraftaki saldırı senaryoları sunucu tarafındakilerden daha az olasıdır.
Tipik dağıtımlar için, paketlerin bütünlüğü SSL taşımacılığına değil, GPG imzalarına dayandığından paket dağıtımında güvenlik etkisi olmadığını unutmayın.
Etkilenen tüm sunucuları çevrimdışı duruma getirin. Çalıştıkları sürece, kritik verilerden potansiyel olarak sızıntı yapıyorlar.
OpenSSL kütüphane paketini yükseltin . Tüm dağıtımların şimdiye dek düzeltmeleri gerekir (ya 1.0.1g ile ya da sürüm numarasını değiştirmeden hatayı düzelten bir yamayla). Kaynağından derlediyseniz, 1.0.1g veya üstüne yükseltin. Etkilenen tüm sunucuların yeniden başlatıldığından emin olun.
Linux'ta, potansiyel olarak etkilenen işlemlerin hala çalıştığını kontrol edebilirsiniz.grep 'libssl.*(deleted)' /proc/*/maps
Yeni anahtarlar üret . Bu gereklidir, çünkü hata bir saldırganın eski özel anahtarı edinmesine izin vermiş olabilir. İlk başta kullandığınız aynı prosedürü izleyin.
Artık ödün vermeyen yeni anahtarlara sahip olduğunuzdan, sunucunuzu tekrar çevrimiçi duruma getirebilirsiniz .
Eski sertifikaları iptal et .
Hasar değerlendirmesi : SSL bağlantılarını sunan bir işlemin hafızasında yer alan veriler sızdırılmış olabilir. Bu kullanıcı şifrelerini ve diğer gizli verileri içerebilir. Bu verinin ne olabileceğini değerlendirmek gerekir.
Yalnızca yerel ana bilgisayarda veya bir intranette dinleyen sunucular, yalnızca güvenilmeyen kullanıcılar bunlara bağlanabiliyorsa açık olarak kabul edilir.
Müşterilerle, hatanın sömürülebileceği yalnızca nadir senaryolar vardır: bir istismar, aynı müşteri işlemini kullanmanı gerektirir
Dolayısıyla, yalnızca (tamamen güvenilmeyen) posta sağlayıcınıza bağlanmak için kullandığınız bir e-posta istemcisi bir sorun değildir (kötü amaçlı bir sunucu değil). Bir dosyayı indirmek için wget çalıştırmak bir sorun değildir (sızdıracak gizli veri yok).
Bunu UTC 2014-04-07 akşamları arasında ve OpenSSL kütüphanenizi yükseltmek arasında yaptıysanız, müşterinin hafızasında bulunan verileri tehlikeye atacak şekilde düşünün.
lsof -c firefox | grep 'ssl\|crypto'
, /usr/lib64/libssl.so.1.0.0, /usr/lib64/libcrypto.so.1.0.0, /lib64/libk5crypto.so.3.1 ve /opt/firefox/libssl3.so dosyasını alıyorum .
Hassas olup olmadığınızı test etmek için buraya gidin: http://filippo.io/Heartbleed/
Güvenlik açığından openssl
etkilendiğinizi düşünüyorsanız web sunucunuzu güncelleyin ve yeniden başlatın.