مشکل امنیتی سرورهای لینوکسی و بی اس دی: خون‌ریزی قلبی

[بهنام …]

به نام خالق یکتا
سلام

در این مورد کسی مطلب نگذاشته هنوز توی انجمن
http://bayan.blog.ir/1393/01/19-1

مثال:
http://amn.bayan.ir/?url=linuxseason.ir

ما که سر در نمیاریم ولی ویندوزی‌ها بدجور دارن جولون میدن و میگن اطلاعات ما را دزدیدید!!!!!!!!!!
لطفا صحت و اعتبار و ارزش خبر را بررسی کنید






پی نوشت: جای موضوع اینجا بود یا اشتباه گذاشتم؟

[jackshepherd]

اره این خبر واقعیت داره.

[محمودی فرد]

سلام من در موردش از روز اول تحقیق کرده بودم  http://forum.ubuntu.ir/index.php/topic,87392.0.html . فاجعه هولناک است .  الان روی ابونتوهای اپدیت 13.10 با وجود گذشت سه روز از فاجعه هنوز نسخه ی 1.0.1e  نصب است در حال که در همان روز اول 1.0.1g  که رفع باگ شده توسط open ssl منتشر شد  . ولی این فاجعه (قرار نگرفن 1.0.1g بعد از سه روز در اپدیت ها) نشان میدهد ابونتو به امنیت اهمیت چندانی نمیدهد.(با استفاده از این باگ هر یونیکس به سادگی قابل نفوذ است).
خواهشمند است دوستان به سرعت زیاد یک ریپزوتری برای اپدیت به نسخه open ssl  1.0.1g  قرار بدهند حال کامپایل نداریم(رسیدگی کنید) .
باتشکر

[nixoeen]

همون روز این مشکل توی اوبونتو حل شده: لینک

[بهنام …]

بهتر بود یه موضوع جدید ایجاد می‌کردید

ببین بعد از این همه مدت خیلیا هنوز درست نکردن که کاربران اینجان، یکی قبلا گفتم، یکی هم:
http://amn.bayan.ir/?url=forum.shahabisp.com

[محمودی فرد]

پس چرا وقتی ورژن open ssl خودم را برری میکنم مینویسد
dpkg -l | grep openssl
ii  libgnutls-openssl27:amd64                 2.12.23-1ubuntu4.2                      amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                                   1.0.1e-3ubuntu1.2                       amd64        Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                            0.13-2ubuntu4                           amd64        Python 2 wrapper around the OpenSSL library
در حالی که وبسایت open ssl  فقط 1.0.1g را اصلاح شده می داند . http://www.openssl.org/
OpenSSL 1.0.1g is now available, including bug and security fixes

[ali.abry]

اطلاعات کاملش این جا هستش :
http://heartbleed.com/
لیست توزیع هایی که این باگ رو دارن رو هم نوشته

[nixoeen]

چون مشکل رو با Backporting حل کردند، نه با بروزرسانی کامل نرم‌افزار.

[MR. B]

چه جوری از ورژن OPEN SSL نصب شده روی توزیع خودمون مطلع بشیم ؟

[Ghost Shadow]

چه جوری از ورژن OPEN SSL نصب شده روی توزیع خودمون مطلع بشیم ؟

من اوبونتو 12.04 دارم.

با این دستور:

کد: [انتخاب]

openssl version
برای من این هست:دی

کد: [انتخاب]

OpenSSL 1.0.1 14 Mar 2012

[QSBuntu]

ورژن سیستم من اینه :

کد: [انتخاب]

OpenSSL 1.0.1e 11 Feb 2013
مشکلی که نداره؟ اگه داره چکارش کنم؟

[FieldMarshal]

برای اینکه مشکلی پیش نیاد باید این نسخه رو داشته باشید که آخرین نسخه هست

کد: [انتخاب]

openssl-1.0.1g
دانلود :

کد: [انتخاب]

https://www.openssl.org/source/openssl-1.0.1g.tar.gz
نحوه نصب:

کد: [انتخاب]

# wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
 
# tar -xvzf openssl-1.0.1g.tar.gz
 
# cd openssl-1.0.1g/
 
#./config -DOPENSSL_NO_HEARTBEATS
 
#make
 
#make test
 
#make install

[nixoeen]

مشکلی که نداره؟ اگه داره چکارش کنم؟

اگر جدیدا سیستم رو بروز کردید مشکلی نداره. همونطور که گفتم اکثر توزیع‌ها از جمله اوبونتو و دبیان تنها Backporting انجام میدن. یعنی با این که نسخه قدیمی رو دارید، ولی اون باگ امنیتی رو نخواهید داشت.

[Bijan]

آقا یکی بیاد ما رو روشن کنه! بعد از کشف این باگ به این شک افتادم که توسعه دهنده های این برنامه خودشون به قصد این باگ رو به سفارش سازمان یا اشخاصی ایجاد کردن! من زیاد سر رشته ای ندارم تو این موارد اما مگه میشه یه نفر که کدنویس همچین پروژه هایی باشه همچین سوتی بده طوری که حتی این باگ طوری باشه که ردی از نفوذگر درش باقی نمونه؟ الان هم که خبرش در اومده که ان اس ای خیلی وقته داره از این باگ استفاده میکنه! دیگه خودتون پرتقال فروش رو پیدا کنید! 
ان اس ای میگوید سال هاست که از باگ هارت بلیدینگ برای تجسس اطلاعاتی استفاده میکرده است!
NSA Said to Exploit Heartbleed Bug for Intelligence for Years
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html