نمایش نتایج: از 1 به 1 از 1
  1. Top | #1
    StarStarStarStarStarStarStar
    تاریخ عضویت
    February 2016
    شماره عضویت
    20777
    عنوان کاربر
    عضو انجمن
    میانگین پست در روز
    0.01
    سن
    27
    نوشته ها
    17
    موضوع ها
    16
    Thanks
    0
    Thanked 0 Times in 0 Posts
    وب سایت کاربر
    کلیک کنید
    میزان امتیاز
    71

    باگ امنیتی SSL Heartbleed در سرور مجازی و راه مقابله با آن

    باگ امنیتی SSL Heartbleed در سرور مجازی و راه مقابله با آن: دیروز Bug (حفره) امنیتی جدیدی در هسته کتابخانه*های مورد نیاز SSL منتشر شده*است که باعث می*شود تا اطلاعات ذخیره شده در Memory سرویس دهنده و سرویس گیرنده با حجم۶۴ کیلوبایت و یا بیشتر فاش شود.




    اطلاعاتی که در Memory سرویس دهنده و گیرنده ذخیره می*شوند عبارتند از:


    ۱- Primary key
    ۲- Secondary key
    ۳- Protected content
    ۴- Collateral
    ۱- primary key: اطلاعات موجود در Primary key عبارتند از: «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک*های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد.
    ۲- secondary key: اطلاعات ذخیره شده در Secondary key عبارتند از: «اطلاعات مربوطه به اعتبارسنجی*ها»، می*توان نام*های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
    ۳- Protected content*: اطلاعات موجود در Protected content عبارتند از: «محتوای ایمیل*ها، عکس*ها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل می*تواند به این اطلاعات دسترسی داشته باشد.
    ۴- Collateral: اطلاعات ذخیره شده در Collateral عبارتند از: «اطلاعات مربوط به Memory» که می*توان جزییات فنی نظیر آدرس حافظه، مکانیزم*های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره را در این قسمت مشاهده نمود.



    کدام نسخه*های OpenSSL نسبت به این حفره آسیب*پذیر است؟
    نسخه*های OpenSSL و آسیب*پذیری آن*ها
    نسخه آسیب*پذیر است؟
    OpenSSL 1.0.1 through 1.0.1f (inclusive) می*باشد
    OpenSSL 1.0.1g نمی*باشد
    OpenSSL 1.0.0 branch نمی*باشد
    OpenSSL 0.9.8 branch نمی*باشد




    کدام سیستم*عامل*ها نسبت به این حفره آسیب*پذیر است؟

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)

    سیستم*عامل*های زیر آسیب پذیر نیست.

    Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    SUSE Linux Enterprise Server

    این باگ ابتدا در December 2011 شناسایی و اعلام شد. در نسخه ۱.۰.۱ مشکل برطرف گردید، اما در تاریخ April 7, 2014 توسط Neel Mehta از تیم امنیتی گوگل مجددا شناسایی و کشف شد.
    راه*حل*های مقابله با Heartbleed:
    باتوجه به این که این مشکل در Extensionهای اصلی SSL به نام HEARTBEATS به وجود آمده و در نسخه*ی ۱٫۰٫۱g و جدیدتر برطرف شده*است، بهتر است نسخه*های قدیمی*تر OpenSSL را بروزرسانی کنید.
    همچنین برای برطرف نمودن مشکل باید OpenSSL را با قابلیت -DOPENSSL_NO_HEARTBEATS کامپایل کنید.
    برای بروزرسانی نسخه OpenSSL مراحل زیر را طی نمایید:
    ۱- نسخه جدید را از سایت OpenSSL دانلود نمایید.
    ۲- سپس از حالت فشرده خارج نموده و تنظیم نمایید.
    ۳- سپس به کمک دستورات زیر نصب نمایید.

    cd /usr/src

    # wget [فقط اعضا می توانند لینک ها را ببینند. ]

    # tar -xvzf openssl-1.0.1g.tar.gz

    # cd openssl-1.0.1g/

    #./config -DOPENSSL_NO_HEARTBEATS

    #make

    #make test

    #make install

    برای بروزرسانی می*توانید از دستورات زیر نیز استفاده نمایید.


    syum clean all

    yum update openssl

    توجه داشته باشید که پس از نصب حتما [فقط اعضا می توانند لینک ها را ببینند. ] را Reboot نمایید. برای بررسی برطرف شدن مشکل می*توانید به این صفحه مراجعه نمایید. چنانچه مشکل برطرف شده باشد پیغام «All good, YourDomain.com:443 seems not affected!» نمایش داده خواهد شد.



    موضوعات مشابه:
    [فقط اعضا می توانند لینک ها را ببینند. ] , [فقط اعضا می توانند لینک ها را ببینند. ] , [فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ],[فقط اعضا می توانند لینک ها را ببینند. ]

  2. # ADS
    Circuit advertisement
    تاریخ عضویت
    Always
    سن
    2010
    نوشته ها
    Many


    اینجا محل تبلیغات شماست.

     

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  


از انجمن جومیران در گوگل حمایت کنیم.