Lỗi được gọi là Heartbleed .
Tôi có dễ bị tổn thương không?
Nói chung, bạn bị ảnh hưởng nếu bạn chạy một số máy chủ mà bạn đã tạo khóa SSL tại một số điểm. Hầu hết người dùng cuối không bị ảnh hưởng (trực tiếp); ít nhất Firefox và Chrome không sử dụng OpenSSL. SSH không bị ảnh hưởng. Việc phân phối các gói Ubuntu không bị ảnh hưởng (nó phụ thuộc vào chữ ký GPG).
Bạn dễ bị tổn thương nếu bạn chạy bất kỳ loại máy chủ nào sử dụng phiên bản OpenSSL 1.0 chàng1.0.1f (ngoại trừ các phiên bản khóa học đã được vá từ khi lỗi được phát hiện). Các phiên bản Ubuntu bị ảnh hưởng là 11.10 một chiều cho đến trước 14.04 bản phát hành đáng tin cậy. Đó là một lỗi triển khai, không phải là một lỗ hổng trong giao thức, vì vậy chỉ các chương trình sử dụng thư viện OpenSSL bị ảnh hưởng. Nếu bạn có một chương trình được liên kết với phiên bản OpenSSL 0.9.x cũ, thì nó không bị ảnh hưởng. Chỉ các chương trình sử dụng thư viện OpenSSL để thực hiện giao thức SSL bị ảnh hưởng; các chương trình sử dụng OpenSSL cho những thứ khác không bị ảnh hưởng.
Nếu bạn chạy một máy chủ dễ bị tổn thương tiếp xúc với Internet, hãy xem xét nó bị xâm phạm trừ khi nhật ký của bạn không có kết nối kể từ thông báo vào ngày 2014-04-07. (Điều này giả định rằng lỗ hổng không được khai thác trước khi thông báo.) Nếu máy chủ của bạn chỉ bị lộ bên trong, việc bạn có cần thay đổi khóa hay không sẽ phụ thuộc vào các biện pháp bảo mật khác được áp dụng.
Tác động là gì?
Lỗi này cho phép mọi khách hàng có thể kết nối với máy chủ SSL của bạn để lấy khoảng 64kB bộ nhớ từ máy chủ. Khách hàng không cần phải được xác thực theo bất kỳ cách nào. Bằng cách lặp lại cuộc tấn công, khách hàng có thể kết xuất các phần khác nhau của bộ nhớ trong các lần thử liên tiếp.
Một trong những phần dữ liệu quan trọng mà kẻ tấn công có thể lấy được là khóa riêng SSL của máy chủ. Với dữ liệu này, kẻ tấn công có thể mạo danh máy chủ của bạn.
Làm cách nào để khôi phục trên máy chủ?
Lấy tất cả các máy chủ bị ảnh hưởng ngoại tuyến. Miễn là họ đang chạy, họ có khả năng rò rỉ dữ liệu quan trọng.
Nâng cấp libssl1.0.0
gói và đảm bảo rằng tất cả các máy chủ bị ảnh hưởng được khởi động lại.
Bạn có thể kiểm tra xem các tiến trình bị ảnh hưởng có còn chạy với libssl `` grep 'không. (đã xóa) '/ Proc / / maps`
Tạo khóa mới . Điều này là cần thiết bởi vì lỗi có thể đã cho phép kẻ tấn công lấy được khóa riêng cũ. Thực hiện theo các thủ tục tương tự bạn đã sử dụng ban đầu.
- Nếu bạn sử dụng chứng chỉ được ký bởi cơ quan chứng nhận, hãy gửi khóa công khai mới của bạn đến CA. Khi bạn nhận được chứng chỉ mới, hãy cài đặt nó trên máy chủ của bạn.
- Nếu bạn sử dụng chứng chỉ tự ký, hãy cài đặt nó trên máy chủ của bạn.
- Dù bằng cách nào, hãy di chuyển các khóa và chứng chỉ cũ ra khỏi đường đi (nhưng đừng xóa chúng, chỉ cần đảm bảo chúng không được sử dụng nữa).
Bây giờ bạn có các khóa không thỏa hiệp mới, bạn có thể đưa máy chủ của mình trực tuyến trở lại .
Thu hồi các chứng chỉ cũ.
Đánh giá thiệt hại : bất kỳ dữ liệu nào có trong bộ nhớ của quy trình phục vụ các kết nối SSL có thể có khả năng đã bị rò rỉ. Điều này có thể bao gồm mật khẩu người dùng và dữ liệu bí mật khác. Bạn cần đánh giá những gì dữ liệu này có thể đã được.
- Nếu bạn đang chạy một dịch vụ cho phép xác thực mật khẩu, thì mật khẩu của người dùng đã kết nối một chút trước khi lỗ hổng được công bố sẽ bị coi là bị xâm phạm. (Trước đây một chút, vì mật khẩu có thể vẫn chưa được sử dụng trong bộ nhớ trong một thời gian.) Kiểm tra nhật ký của bạn và thay đổi mật khẩu của bất kỳ người dùng bị ảnh hưởng nào.
- Cũng vô hiệu hóa tất cả các cookie phiên, vì chúng có thể đã bị xâm phạm.
- Chứng chỉ khách hàng không bị xâm phạm.
- Bất kỳ dữ liệu nào được trao đổi từ một chút trước khi lỗ hổng có thể vẫn còn trong bộ nhớ của máy chủ và do đó có thể đã bị rò rỉ cho kẻ tấn công.
- Nếu ai đó đã ghi lại kết nối SSL cũ và truy xuất khóa của máy chủ của bạn, giờ đây họ có thể giải mã bản sao của họ. (Trừ khi PFS được đảm bảo - nếu bạn không biết, thì không.)
Làm thế nào để tôi phục hồi trên một khách hàng?
Chỉ có một vài tình huống trong đó các ứng dụng khách bị ảnh hưởng. Vấn đề ở phía máy chủ là bất kỳ ai cũng có thể kết nối với máy chủ và khai thác lỗi. Để khai thác một khách hàng, phải đáp ứng ba điều kiện:
- Chương trình máy khách đã sử dụng phiên bản lỗi của thư viện OpenSSL để thực hiện giao thức SSL.
- Máy khách được kết nối với một máy chủ độc hại. (Vì vậy, ví dụ, nếu bạn kết nối với nhà cung cấp email, đây không phải là vấn đề đáng lo ngại.) Điều này đã xảy ra sau khi chủ sở hữu máy chủ nhận thức được lỗ hổng, vì vậy có lẽ là sau 2014-04-07.
- Quá trình máy khách có dữ liệu bí mật trong bộ nhớ không được chia sẻ với máy chủ. (Vì vậy, nếu bạn vừa chạy
wget
để tải xuống một tệp, không có dữ liệu nào bị rò rỉ.)
Nếu bạn đã làm điều đó trong khoảng thời gian từ 2014-04-07 tối UTC và nâng cấp thư viện OpenSSL của bạn, hãy xem xét bất kỳ dữ liệu nào trong bộ nhớ của quy trình khách hàng sẽ bị xâm phạm.
Người giới thiệu