Как я восстанавливаюсь с ошибки Heartbleed в OpenSSL?

Question

Как я восстанавливаюсь с ошибки Heartbleed в OpenSSL?

Поскольку Ваша текущая тема не поддерживает GTK3, т.е. gtk-3.0 папку в каталоге тем, все основанные на GTK3 приложения будут выглядеть ужасными (они будут использовать встроенную тему по умолчанию),

Так так перейдите к gnome-look.org и найдите некоторую потрясающую тему (в gtk-3.0 категории, которая будет поддерживать и GTK2 и GTK3), и вставьте его ~/.themes.

Для изменения темы использовать lxappearance.

92

Gilles 'SO- stop being evil' 08.04.2014, 13:42

Ссылка

3 ответа



                                    
                        
                            
                                

                                                                    
                            
                        
                    
                    
                
                    
                        
                            
                                [1129202] Чтобы проверить, уязвимы ли вы, идите сюда: [1129534]http://filippo.io/Heartbleed/

Если вы обнаружили, что вы уязвимы, обновите [1129536]openssl[1129537] и перезапустите ваш веб-сервер. [1129205]                            
                            

                                11
                                
                            
                            
                            
                                
                                27.01.2020, 19:30 
                            
                            Ссылка
                        
                                                
                            
                                

                                                                    
                            
                        
                    
                

                
                
                    
                        
                            
                                 Невозможно исправить эту ошибку. Сохраните все журналы, они понадобятся на тот случай, если кто-то действительно осознает, что уязвимость действительно существует до того, как было объявлено о ней 
                            
                            

                                0
                                
                            
                            
                            
                                
                                27.01.2020, 19:30 
                            
                            Ссылка
                        
                                                
                            
                                

                                                                    
                            
                        
                    
                

                                        
                Теги
                
                                    

                Похожие вопросы
                
                    
                                                    
                                3 
                                Мишень> (процесс) усекает свой stdout при записи файла 07.04.2013 
                                Когда я использую мишень для передачи по каналу stdout непосредственно к "определенному блоку кода" (который затем пишет измененные данные в файл), я всегда получаю полное дополнение выходных строк exptected в файле...
                            

                                                        
                                1 
                                Разбиение пути на имя файла [закрыто]  14.08.2018 
                                 В моем zsh-скрипте я хотел бы найти out, начинается ли мой рабочий каталог с /cygdrive/?/... или точно совпадает с /cygdrive/? (где буква диска (?) может быть любой буквой, отличной от ... 
                            

                                                        
                                11 
                                Regex & Sed/Perl: Распознайте слово, которому не предшествует другое слово 06.11.2011 
                                Я хотел бы использовать sed или жемчуг для замены всех случаев слова, которое не имеет определенного слова перед ним. Например, у меня есть текстовый файл, который содержит график фильма, и я хочу заменить...
                            

                                                        
                                1 
                                Создайте ссылку на папку в элементарной ОС 10.04.2013 
                                Когда я раньше использовал запас Ubuntu, Вы могли создать ссылки на папки и поместить их в другие папки. Как я могу сделать это в элементарных 0.2?
                            

                                                        
                                1 
                                Как заставить 'меньше-FX' играть по правилам с приглашением оболочки с 2 строками 28.08.2014 
                                Мое приглашение оболочки является двумя строками долго (более необычная версия [%n % m % ~]' $ '\n'' % #. Мне установили $LESS на-FX. Когда я вышел меньше, это оставляет одну строку в конце моего экрана, и так как моя подсказка имеет два...
                            

                                                        
                                5 
                                Как я заставляю свои экранные средства управления яркостью подсветки ноутбука работать? 16.01.2014 
                                Что я должен сделать для получения, мой ноутбук экранируют средства управления яркостью подсветки для работы? У меня в настоящее время есть Ubuntu 13.04 и Dell Studio 1558. После чтения этих двух ссылок: https://bugs.launchpad.net/...
                            

                                                        
                                21 
                                Как установить пароль для файлов PDF? 28.02.2015 
                                Я должен к паролю защитить свой файл (файлы) PDF, потому что я собираюсь отправить их по электронной почте, и я хочу любого, кто просмотрел бы мой файл (файлы) PDF, который будет запрошен пароль. Как я могу добавить пароль к...
                            

                                                        
                                5 
                                Чтение нескольких файлов одна строка за один раз в ударе 16.01.2018 
                                Я знаю основной способ читать из команды в ударе: cal |, в то время как IFS = считала-r строку; X$ действительно ли эха {выравнивают} X сделанный, Но что, если я хочу считать одну строку из нескольких файлов/команд в цикле? Я имею...
                            

                                                        
                                17 
                                Существует ли способ преобразовать zip в tar, не извлекая его к файловой системе? 10.05.2015 
                                Существует ли способ преобразовать архив zip в архив tar, не извлекая к временному каталогу сначала? (и не пишущий мою собственную реализацию tar или разархивировали),
                            

                                                        
                                3 
                                 Самый эффективный способ развернуть ОС на нескольких компьютерах?  15.07.2016 
                                 Я узнал о команде dd cmd, она отлично справляется с задачей, так как можно создать образ HD (с уже установленной ОС) и записать его на другие HD. Проблема с этим методом заключается в том, что если у вас есть 2 ТБ ...

score 94 · Accepted Answer · 27.01.2020, 19:30

[1128071] Эта уязвимость имеет большое потенциальное воздействие, поскольку если ваша система подверглась атаке, она останется уязвимой даже после обновления, и атаки, возможно, не оставили никаких следов в логах. Вероятно, если вы быстро исправились и не являетесь высококлассной мишенью, никто не сможет атаковать вас, но в этом трудно быть уверенным.

Я уязвим?

Багги-версия OpenSSL

Багги-версия OpenSSL - это [1128494]Библиотека OpenSSL от 1.0.1 до 1.0.1f[1128495], а OpenSSL от 1.0.2 до beta1. Старые версии (0.9.x, 1.0.0) и версии, в которых ошибка была исправлена (1.0.1g и далее, 1.0.2 beta 2 и далее) не затрагиваются. Это ошибка реализации, а не дефект протокола, поэтому затронуты только программы, использующие библиотеку OpenSSL.

Для отображения номера версии OpenSSL можно воспользоваться утилитой командной строки [1128496]openssl version -a[1128497]. Обратите внимание, что некоторые дистрибутивы переносят исправления ошибок в более ранние выпуски; если в журнале изменений вашего пакета упоминается исправление ошибки Heartbleed, это нормально, даже если вы видите версию, подобную 1.0.1f. Если в [1128498]openssl версии -a[1128499] указана дата сборки (а не дата в первой строке) 2014-04-07 около вечернего UTC или более позднего, то все должно быть в порядке. Обратите внимание, что пакет OpenSSL может иметь [1128500]1.0.0[1128501] в своем [1128502]имени[1128503], даже если [1128504]версия [1128505] 1.0.1 ([1128506]1.0.0[1128507] относится к двоичной совместимости). Затронутые приложения



Эксплуатация осуществляется с помощью приложения, которое использует библиотеку OpenSSL для реализации [1128508]SSL-соединений[1128509]. Многие приложения используют OpenSSL для других криптографических сервисов, и это нормально: ошибка заключается в реализации определенной функции протокола SSL - "сердцебиение".

 Вы можете захотеть проверить, какие программы связаны с библиотекой в вашей системе. На системах, использующих dpkg и apt (Debian, Ubuntu, Mint, ...), следующие списки команд устанавливают пакеты, отличные от библиотек, использующих [1128510]libssl1.0.0[1128511] (затронутый пакет):
 Если вы запустили некоторое [1128512]серверное программное обеспечение [1128513], которое находится в этом списке и [1128514]слушает соединения SSL[1128515], то, вероятно, на вас это повлияет. Это касается веб-серверов, почтовых серверов, VPN серверов и т.д. Вы узнаете, что вы включили SSL, потому что вам нужно было сгенерировать сертификат, либо отправив запрос на подписание сертификата в центр сертификации, либо сделав свой собственный самоподписанный сертификат. (Возможно, что какая-то процедура установки сгенерировала самоподписанный сертификат без вашего ведома, но это обычно делается только для внутренних серверов, а не для серверов, подключенных к Интернету). Если вы запустили уязвимый сервер, находящийся в интернете, считайте, что он скомпрометирован, если только в ваших журналах не обнаружено никакого соединения с момента объявления 2014-04-07. (Это предполагает, что уязвимость не использовалась до объявления). Если ваш сервер был открыт только внутри, то необходимость изменения ключей будет зависеть от других мер безопасности.

Клиентское программное обеспечение будет затронуто только в том случае, если вы использовали его для подключения к вредоносному серверу. Поэтому, если вы подключились к провайдеру электронной почты с помощью IMAPS, вам не нужно беспокоиться (если только провайдер не подвергся атаке - но если это так, то они должны сообщить вам об этом), но если вы просматривали случайные сайты с помощью уязвимого браузера, вам может понадобиться беспокоиться. Пока что, похоже, уязвимость не использовалась до ее обнаружения, поэтому нужно беспокоиться только о том, подключались ли вы к вредоносным серверам с 2014-04-08.

=B1-A1

Следующие программы не затрагиваются, так как они не используют OpenSSL для реализации SSL:

SSH (протокол не SSL)

Chrome/Chromium ([1128879]использует NSS[1128880])

Firefox (использует NSS) (по крайней мере, с Firefox 27 на Ubuntu 12). 04, но не со всеми билдами?

Каково влияние?

Ошибка позволяет [1128522]любому клиенту [1128523], который может подключиться к вашему SSL-серверу, получить около 64 кБ памяти от сервера за раз. Клиент не нуждается в какой-либо аутентификации. Повторяя атаку, клиент может дампать различные части памяти в последовательных попытках. Это потенциально позволяет злоумышленнику извлекать любые данные, которые находились в памяти серверного процесса, включая ключи, пароли, куки и т.д.

Одной из критических частей данных, которые злоумышленник может извлечь, является приватный SSL-ключ сервера. С помощью этих данных злоумышленник может выдать себя за ваш сервер.

Ошибка также позволяет любому серверу, к которому подключился ваш SSL-клиент, получить от него одновременно около 64 кБ памяти. Это вызывает беспокойство, если вы использовали уязвимый клиент для манипулирования конфиденциальными данными, а затем подключились к недоверенному серверу с тем же клиентом. Таким образом, сценарии атак на этой стороне значительно менее вероятны, чем на стороне сервера. 

 Обратите внимание, что для типичных дистрибутивов [1128524] нет никакого влияния на безопасность распределения пакетов [1128525], так как целостность пакетов зависит от сигнатур GPG, а не от транспорта SSL. 

Как исправить уязвимость?

Устранение открытых серверов

Выключите все затронутые серверы из сети.[1128982] Пока они работают, они потенциально могут пропускать критические данные.

Обновите пакет библиотек OpenSSL[1128984]. Все дистрибутивы уже должны иметь исправление (либо с 1.0.1g, либо с патчем, который исправляет ошибку без изменения номера версии). Если вы скомпилированы из исходников, обновитесь до версии 1.0.1g или выше. Убедитесь, что все затронутые серверы перезапущены.[1128985].
В Linux вы можете проверить, работают ли еще потенциально подверженные влиянию процессы с помощью [1128986]grep 'libssl.*(deleted)' /proc/*/maps

Генерируйте новые ключи[1128989]. Это необходимо, так как ошибка могла позволить злоумышленнику получить старый приватный ключ. Следуйте той же процедуре, которую вы использовали изначально.

Если вы используете сертификаты, подписанные центром сертификации, отправьте ваши новые открытые ключи в ваш центр сертификации. Когда вы получите новый сертификат, установите его на свой сервер.

cd $HOME

 Если вы используете самоподписанные сертификаты, установите его на свой сервер.

В любом случае, сдвиньте старые ключи и сертификаты с места (но не удаляйте их, а просто убедитесь, что они больше не используются). 

Теперь, когда у вас есть новые бескомпромиссные ключи, вы можете [1128996]вернуть ваш сервер в рабочее состояние [1128997]. 

Отменить [1128999] старые сертификаты. 
Оценка повреждений [1129001]: любые данные, которые находились в памяти процесса, обслуживающего SSL-соединения, могли быть потенциально утеряны. Сюда могут входить пароли пользователей и другие конфиденциальные данные. Вам необходимо оценить, какими могли быть эти данные. 
 Если вы запускаете службу, позволяющую осуществлять аутентификацию по паролю, то пароли пользователей, которые подключались незадолго до объявления об уязвимости, должны считаться скомпрометированными. Проверьте ваши журналы и измените пароли любого затронутого пользователя.


Также признайте недействительными все сессионные cookie-файлы, так как они могли быть скомпрометированы.

Клиентские сертификаты не скомпрометированы.
 Любые данные, которыми обменивались с момента, незадолго до появления уязвимости, могли остаться в памяти сервера, и поэтому могли быть утеряны злоумышленником.

Если кто-то записал старое SSL-соединение и получил ключи вашего сервера, то теперь он может расшифровать расшифровку своей расшифровки. (Если только [1129060]PFS[1129061] не было обеспечено - если вы не знаете, то это не так.)

Исправление в других случаях[12111]Серверы, которые прослушивают только локальный хост или интранет, считаются незащищенными только в том случае, если к ним могут подключиться недоверенные пользователи.[12112]В случае с клиентами есть только редкие сценарии, в которых ошибка может быть использована: эксплойт потребует, чтобы вы использовали тот же самый клиентский процесс для [12113]манипулирования конфиденциальными данными (например, в случае, если вы используете тот же самый клиентский процесс для манипулирования конфиденциальными данными)[12119]. например, пароли, клиентские сертификаты, ...);[12114]и затем, в том же самом процессе, подключаться к вредоносному серверу по SSL.[12115]Так что, например, почтовый клиент, который вы используете только для подключения к вашему (не полностью недоверенному) почтовому провайдеру, не является проблемой (не вредоносный сервер). Запуск wget для загрузки файла не является проблемой (нет конфиденциальных данных для утечки).[12116]Если вы делали это в период между 2014-04-07 вечером по UTC и обновлением вашей библиотеки OpenSSL, считайте, что любые данные, которые были в памяти клиента, будут скомпрометированы. [12117]Ссылки[12118]Ошибка сердца[1128898] (одной из двух команд, которые независимо обнаружили ошибку)[12119]Как именно эксплуатируется сердечный удар (Heartbleed) OpenSSL TLS?[12120]Означает ли Heartbleed новые сертификаты для каждого SSL-сервера?[12121]Ошибка сердца: Что это и какие опции можно смягчить?[12122]