انجمن‌های فارسی اوبونتو

کمک و پشتیبانی => شبکه و سرویس‌ دهنده‌ها => نویسنده: بهنام … در 21 فروردین 1393، 06:44 ب‌ظ

عنوان: مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: بهنام … در 21 فروردین 1393، 06:44 ب‌ظ

به نام خالق یکتا
سلام

در این مورد کسی مطلب نگذاشته هنوز توی انجمن
http://bayan.blog.ir/1393/01/19-1

مثال:
http://amn.bayan.ir/?url=linuxseason.ir

ما که سر در نمیاریم ولی ویندوزی‌ها بدجور دارن جولون میدن و میگن اطلاعات ما را دزدیدید!!!!!!!!!!
لطفا صحت و اعتبار و ارزش خبر را بررسی کنید






پی نوشت: جای موضوع اینجا بود یا اشتباه گذاشتم؟

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: jackshepherd در 21 فروردین 1393، 07:02 ب‌ظ

اره این خبر واقعیت داره.

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: محمودی فرد در 21 فروردین 1393، 09:54 ب‌ظ

سلام من در موردش از روز اول تحقیق کرده بودم  http://forum.ubuntu.ir/index.php/topic,87392.0.html . فاجعه هولناک است .  الان روی ابونتوهای اپدیت 13.10 با وجود گذشت سه روز از فاجعه هنوز نسخه ی 1.0.1e  نصب است در حال که در همان روز اول 1.0.1g  که رفع باگ شده توسط open ssl منتشر شد  . ولی این فاجعه (قرار نگرفن 1.0.1g بعد از سه روز در اپدیت ها) نشان میدهد ابونتو به امنیت اهمیت چندانی نمیدهد.(با استفاده از این باگ هر یونیکس به سادگی قابل نفوذ است).
خواهشمند است دوستان به سرعت زیاد یک ریپزوتری برای اپدیت به نسخه open ssl  1.0.1g  قرار بدهند حال کامپایل نداریم(رسیدگی کنید) .
باتشکر

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: nixoeen در 21 فروردین 1393، 10:18 ب‌ظ

همون روز این مشکل توی اوبونتو حل شده: لینک (http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12/changelog)

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: بهنام … در 21 فروردین 1393، 10:33 ب‌ظ

بهتر بود یه موضوع جدید ایجاد می‌کردید

ببین بعد از این همه مدت خیلیا هنوز درست نکردن که کاربران اینجان، یکی قبلا گفتم، یکی هم:
http://amn.bayan.ir/?url=forum.shahabisp.com

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: محمودی فرد در 21 فروردین 1393، 10:47 ب‌ظ

پس چرا وقتی ورژن open ssl خودم را برری میکنم مینویسد
dpkg -l | grep openssl
ii  libgnutls-openssl27:amd64                 2.12.23-1ubuntu4.2                      amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                                   1.0.1e-3ubuntu1.2                       amd64        Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                            0.13-2ubuntu4                           amd64        Python 2 wrapper around the OpenSSL library
در حالی که وبسایت open ssl  فقط 1.0.1g را اصلاح شده می داند . http://www.openssl.org/
OpenSSL 1.0.1g is now available, including bug and security fixes

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: ali.abry در 21 فروردین 1393، 11:01 ب‌ظ

اطلاعات کاملش این جا هستش :
http://heartbleed.com/
لیست توزیع هایی که این باگ رو دارن رو هم نوشته

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: nixoeen در 21 فروردین 1393، 11:06 ب‌ظ

چون مشکل رو با Backporting حل کردند، نه با بروزرسانی کامل نرم‌افزار.

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: MR. B در 21 فروردین 1393، 11:10 ب‌ظ

چه جوری از ورژن OPEN SSL نصب شده روی توزیع خودمون مطلع بشیم ؟

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: Ghost Shadow در 21 فروردین 1393، 11:39 ب‌ظ

نقل‌قول از: MR. B در 21 فروردین 1393، 11:10 ب‌ظ

چه جوری از ورژن OPEN SSL نصب شده روی توزیع خودمون مطلع بشیم ؟

من اوبونتو 12.04 دارم.

با این دستور:

کد: [انتخاب]

openssl version
برای من این هست:دی

کد: [انتخاب]

OpenSSL 1.0.1 14 Mar 2012

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: QSBuntu در 22 فروردین 1393، 12:01 ب‌ظ

ورژن سیستم من اینه :

کد: [انتخاب]

OpenSSL 1.0.1e 11 Feb 2013
مشکلی که نداره؟ اگه داره چکارش کنم؟

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: FieldMarshal در 22 فروردین 1393، 02:50 ب‌ظ

برای اینکه مشکلی پیش نیاد باید این نسخه رو داشته باشید که آخرین نسخه هست

کد: [انتخاب]

openssl-1.0.1g
دانلود :

کد: [انتخاب]

https://www.openssl.org/source/openssl-1.0.1g.tar.gz
نحوه نصب:

کد: [انتخاب]

# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
 
# tar -xvzf openssl-1.0.1g.tar.gz
 
# cd openssl-1.0.1g/
 
#./config -DOPENSSL_NO_HEARTBEATS
 
#make
 
#make test
 
#make install

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: nixoeen در 22 فروردین 1393، 02:56 ب‌ظ

نقل‌قول از: 2020s1371 در 22 فروردین 1393، 12:01 ب‌ظ

مشکلی که نداره؟ اگه داره چکارش کنم؟

اگر جدیدا سیستم رو بروز کردید مشکلی نداره. همونطور که گفتم اکثر توزیع‌ها از جمله اوبونتو و دبیان تنها Backporting انجام میدن. یعنی با این که نسخه قدیمی رو دارید، ولی اون باگ امنیتی رو نخواهید داشت.

عنوان: پاسخ : مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی
ارسال شده توسط: Bijan در 23 فروردین 1393، 12:36 ق‌ظ

آقا یکی بیاد ما رو روشن کنه! بعد از کشف این باگ به این شک افتادم که توسعه دهنده های این برنامه خودشون به قصد این باگ رو به سفارش سازمان یا اشخاصی ایجاد کردن! من زیاد سر رشته ای ندارم تو این موارد اما مگه میشه یه نفر که کدنویس همچین پروژه هایی باشه همچین سوتی بده طوری که حتی این باگ طوری باشه که ردی از نفوذگر درش باقی نمونه؟ الان هم که خبرش در اومده که ان اس ای خیلی وقته داره از این باگ استفاده میکنه! دیگه خودتون پرتقال فروش رو پیدا کنید!  ;D
ان اس ای میگوید سال هاست که از باگ هارت بلیدینگ برای تجسس اطلاعاتی استفاده میکرده است!
NSA Said to Exploit Heartbleed Bug for Intelligence for Years
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html (http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html)