دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از
۱- primary key
۱- primary key
۲- secondary key
۳- protected content
۴- collateral
اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.
باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟
۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.
کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟
کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
سیستم عامل های زیر نیز آسیب پذیر نمی باشد.
- Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
- SUSE Linux Enterprise Server
این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.
جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.
برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.
cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make installویا می توانید از دستورات زیر استفاده نمایید.
#yum clean all #yum update openssl
و کسانی که از litespeed استفاده می کنند . اقدام به بروز رسانی litespeed کنند.
easyapache نیز با بروز رسانی پچ امنیتی جدید را نصب می کند.
برای cloudlinux هم از دستورات زیر جهت برطرف نمودن مشکل امنیتی استفاده نمایید.
yum clean all yum update openssl cagefsctl --force-update /etc/init.d/httpd stop /etc/init.d/httpd start