مشکل امنیتی مهم و جدید در OpenSSL - heartbeat

[secure_host]

مشکل امنیتی OpenSSL - heartbeat



دیروز باگ امنیتی جدیدی در هسته کتابخانه های مورد نیاز در SSL منتشر شده است که باعث می شود تا اطلاعات ذخیره شده در memory سرویس دهنده و سرویس گیرنده که دارای ۶۴ کیلوبایت و یا بیشتر باشند فاش شود. که اطلاعاتی که در memory سرویس دهنده و سرویس گیرنده ذخیره می شوند عبارتند از

۱- primary key
۲- secondary key
۳- protected content
۴- collateral

اطلاعاتی که در primary key موجود است عبارتند از کلید محرمانه SSL که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد .
اطلاعاتی که در secondary key ذخیره می شوند. عبارتند از اطلاعات مربوطه به اعتبارسنجی ها که می توان نام های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
اطلاعاتی که در protected content موجود است عبارتند از : محتوی ایمیل ها و عکس ها و مطالب رد و بدل شده بین سرویس گیرنده و سرویس دهنده که در حالت عادی فقط مالک ایمیل می تواند به این اطلاعات دسترسی داشته باشد.
اطلاعاتی که در collateral ذخیره می شود . عبارتند از اطلاعات مربوط به memory که می توان اطلاعاتی مانند جزییات فنی نظیر آدرس حافظه و همچنین مکانیسم های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) را در این قسمت مشاهده نمود.

باتوجه به این که این مشکل در extension های اصلی ssl به نام heartbeat وجود آمده است . شما باید بروز رسانی را به نسخه جدید انجام دهید.
کدام نسخه های openssl نسبت به این باگ آسیب پذیر می باشد.؟

حهت بررسی این که آیا شما نیز آسیپ پذیر می باشید یا خیر ؟‌ لینک زیر را مشاهده نمایید.
Test your server for Heartbleed (CVE-2014-0160)

در صورتی که عبارت IS VULNERABLE را نمایش داد . یعنی این که سرور شما آسپیب پذیر می باشد.


۱- OpenSSL 1.0.1 through 1.0.1f (inclusive : آسیب پذیر می باشد.
۲- OpenSSL 1.0.1g : آسیب پذیر نمی باشد.
۳- OpenSSL 1.0.0 branch: آسیب پذیر نمی باشد.
۴-OpenSSL 0.9.8 branch : آسیب پذیر نمی باشد.

کدام سیستم عامل ها نسبت به این باگ آسیب پذیر می باشند.؟

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

سیستم عامل های زیر نیز آسیب پذیر نمی باشد.

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

این باگ ابتدا در December 2011 منتشر شد. که در نسخه ۱.۰.۱ مشکل برطرف گردید و دوباره در تاریخ 7 April 2014 منتشر شده است که شناسایی و کشف این مشکل امنیتی توسط Neel Mehta از تیم امنیتی گوگل بوده است.
برای حل این مشکل توصیه می گردد هرچه سریع تر اقدامات جهت بروز رسانی نسخه مربوط به openssl را انجام دهید.

جهت patch کردن مشکل امنیتی اقدامات زیر را انجام دهید.

برای برطرف کردن مشکل باید openssl را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
به جهت بروز رسانی به صورت زیر عمل کنید.
۱- نسخه جدید را از سایت مربوطه دانلود نمایید.
۲- بعد از اکسترکت کردن اقدام به کانفیگ نمایید.
۳- سپس نصب نمایید.[LEFT]

کد:

cd /usr/src
# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
# tar -xvzf openssl-1.0.1g.tar.gz
# cd openssl-1.0.1g/
 
#./config -DOPENSSL_NO_HEARTBEATS
#make
#make test
#make install

ویا می توانید از دستورات زیر استفاده نمایید.

کد:

#yum clean all
#yum update openssl

و کسانی که از litespeed استفاده می کنند . اقدام به بروز رسانی litespeed کنند.
easyapache نیز با بروز رسانی پچ امنیتی جدید را نصب می کند.

برای cloudlinux هم از دستورات زیر جهت برطرف نمودن مشکل امنیتی استفاده نمایید.

کد:

yum clean all
yum update openssl
cagefsctl --force-update
/etc/init.d/httpd stop
/etc/init.d/httpd start

منبع :
مشکل امنیتی OpenSSL - heartbeat - مرکز آموزش - SecureHost

بعد از آپدیت حتما سرور را ریبوت نمایید.

در صورت برطرف شدن با پیغام
All good, securehost.ir:443 seems not affected! در وب سایت Test your server for Heartbleed (CVE-2014-0160) مواجه می شوید.
سایت خودمون برای مثال ذکر شده است.