portaldacalheta.pt
  • Основен
  • Растеж На Приходите
  • Финансови Процеси
  • Дизайнерски Живот
  • Съвети И Инструменти
Наука За Данни И Бази Данни

Коригиране на “Heartbleed” OpenSSL бъг: Урок за администратори на Sys



И така, какво всъщност е грешката?

Ето много кратко изложение:

Потенциално критичен проблем се появи в широко използваните OpenSSL криптографска библиотека. Той получава прякора „Heartbleed“, тъй като уязвимостта съществува в „Удължаване на сърдечния ритъм“ (RFC6520) към Защита на транспортния слой (TLS) и това е проблем с изтичане на памет („кървене“). Потребителските пароли и други важни данни може да са компрометирани на всеки сайт, засегнат от уязвимостта.



Уязвимостта е особено опасна поради две причини:

  1. Изтичат потенциално критични данни.
  2. Атаката не оставя следи.

Засегнатите Версии на OpenSSL са 1.0.1 до 1.0.1f, 1.0.2-бета и 1.0.2-бета1.



Кой е засегнат от проблема?

Кратък отговор: Всеки и всеки, който използва тези версии на OpenSSL.

И това е МНОГО компании и МНОГО хора.



Преди да влезем в нашия урок Heartbleed, ето само кратка извадка от големи компании и уебсайтове за които е известно, че са били засегнати и които са се нуждаели от корекция на техните сайтове: Gmail , Yahoo Mail , Интуитен TurboTax , USAA , Dropbox, Flickr, Instagram, Pinterest , SoundCloud , Tumblr, GitHub , GoDaddy , Boingo Wireless , и много други.

Ако ти



s corp c corp llc разлики

Много, много корпоративни уебсайтове на компании от всякакъв мащаб са били (или все още трябва да бъдат!) Изправени, за да се отстрани уязвимостта Heartbleed.

Уязвимостта съществува от 31 декември 2011 г., като OpenSSL се използва от около 66% от домакините в Интернет .



Като потребител има вероятност сайтовете, които често посещавате, да бъдат засегнати и че данните ви може да са компрометирани. Като разработчик или sys администратор , сайтове или сървъри, за които сте отговорни, вероятно също са били засегнати.

И така, какво трябва да направя, за да се защитя, ако използвам някой от засегнатите сайтове?

Основното нещо, което трябва да направите веднага е да промените паролите си за някоя от засегнати сайтове за които имате акаунт за вход.



И какво трябва да направя, за да поправя и защитя срещу Heartbleed, ако съм администратор на sys за сайт, който използва OpenSSL?

Ако използвате OpenSSL 1.0.1, направете едно от следните неща веднага :

  • Надстройте до OpenSSL 1.0.1g или
  • Прекомпилирайте OpenSSL с -DOPENSSL_NO_HEARTBEATS.

Ако използвате OpenSSL 1.0.2, уязвимостта ще бъде отстранена в 1.0.2-beta2 но нямате търпение за това . Междувременно направете едно от следните неща веднага :



пандемичен план за непрекъснатост на бизнеса
  • Върнете се към OpenSSL 1.0.1g или
  • Прекомпилирайте OpenSSL с -DOPENSSL_NO_HEARTBEATS.

Повечето дистрибуции (напр. Ubuntu, Fedora, Debian, Arch Linux) вече са надстроили своите пакети. В случаи като Gentoo можете надстройка до закърпена ebuild .

След като надстроите (или прекомпилирате) и сте установили защитена версия на вашия сървър:

  • Не забравяйте да рестартирате всички потенциално засегнати процеси. Основните демони, засегнати от грешката, включват Apache, Nginx, OpenVPN и sshd; общо взето всичко и всичко свързано с libssl. (Обърнете внимание, че рестартирането на тези демони трябва да е достатъчно. Не би трябвало да се възстановява тези двоични файлове, тъй като те са динамично свързани с библиотеките openssl.)
  • Уверете се, че вече не сте уязвими, като използвате инструменти като този онлайн тест или този инструмент на GitHub или този инструмент на Pastebin .

Ако вашата инфраструктура е била уязвима, има стъпки за обучение на Heartbleed, които можете и трябва да предприемете. Наличен е полезен списък с такива смекчаващи мерки тук .

Още кървави подробности за Heartbleed, за тези, които се интересуват ...

Както е обяснено в ангажирането на GitHub за поправката , проверка за липсващи граници при обработката на разширението за сърдечен ритъм TLS може да бъде използвана, за да разкрие до 64k памет на свързан клиент или сървър.

Докато откритата памет може да бъде просто боклук, тя също толкова лесно може да се окаже изключително ценна за злонамерен нападател.

Ето как работи уязвимостта Heartbleed: Атакуващият осигурява полезния товар, както и дължината на полезния товар. Въпреки това не се прави проверка, за да се потвърди, че дължината на полезния товар всъщност е предоставена от нападателя. Ако дължината на полезния товар не е била предоставена, възниква четене извън границите, което от своя страна изтича паметта на процеса от купчината.

Изтичането на заглавки на предишни заявки може да бъде много сериозен проблем със сигурността. По-конкретно, данните за публикацията за вход на предишен потребител все още могат да бъдат достъпни с неговото потребителско име, парола и бисквитки, които след това могат да бъдат изложени и използвани. Освен това, въпреки че изтичането на частен ключ през Heartbleed първоначално се счита за такова малко вероятно , това е било проверено че частните SSL ключове могат да бъдат откраднати чрез използване на тази уязвимост.

какво измерва ценова еластичност на търсенето

Поправянето на Heartbleed е критично, тъй като е потвърдено, че частните SSL ключове могат да бъдат откраднати по този начин.

Уязвимостта е възможна и поради глупавото използване на кеша на malloc () от OpenSSL. Като опаковате libc функции и всъщност не освобождава памет, експлоатационните мерки за противодействие в libc никога не им се дава шанс да влязат и да направят грешката безполезна.

Налични са допълнителни подробности за тези начини за отстраняване на Heartbleed тук и тук .

И за какво си струва, ето още нещо забавна перспектива .

Поздрави за откривателя, Нийл Мехта от Google Security, както и Адам Лангли и Бодо Молер, които своевременно предоставиха кръпката и помогнаха на администраторите на sys да определят как да поправят Heartbleed. Също така ви насърчавам да се образовате по някои от другите често срещани уязвимости в уеб сигурността за да се избегнат проблеми в бъдеще.

AI срещу BI: Различия и полезни взаимодействия

Иновация

AI срещу BI: Различия и полезни взаимодействия
Page Speed ​​101: Фондация за дизайнери на мобилен потребителски интерфейс

Page Speed ​​101: Фондация за дизайнери на мобилен потребителски интерфейс

Мобилен Дизайн

Популярни Публикации
UI срещу UX: Жизненоважното ръководство за дизайн на потребителския интерфейс
UI срещу UX: Жизненоважното ръководство за дизайн на потребителския интерфейс
Приемане на Firebase без сървъри - Мобилните и уеб приложенията стават лесно
Приемане на Firebase без сървъри - Мобилните и уеб приложенията стават лесно
Ценова еластичност 2.0: от теорията към реалния свят
Ценова еластичност 2.0: от теорията към реалния свят
Проучване на мултимодален дизайн - Урок за Adobe XD
Проучване на мултимодален дизайн - Урок за Adobe XD
Максималистичен дизайн и проблемът с минимализма
Максималистичен дизайн и проблемът с минимализма
 
Agile UX: Как да включите UX и продуктовия дизайн в Agile
Agile UX: Как да включите UX и продуктовия дизайн в Agile
Научете Markdown: Инструмент за писане за разработчици на софтуер
Научете Markdown: Инструмент за писане за разработчици на софтуер
CloudI: Привеждане на толерантността на Erlang към развитие на полиглот
CloudI: Привеждане на толерантността на Erlang към развитие на полиглот
Внедряване на безсървърни функции Node.js с помощта на Google Cloud
Внедряване на безсървърни функции Node.js с помощта на Google Cloud
Презентационен дизайн и изкуството на визуалното разказване на истории
Презентационен дизайн и изкуството на визуалното разказване на истории
Популярни Публикации
  • може ли да изтече памет в java
  • aws решения архитект преминаващ резултат
  • кога да наемете финансов директор
  • за какво се използва scala
  • какво е powerpivot excel 2016
  • как да си направя акаунт в бот на Discord
Категории
  • Растеж На Приходите
  • Финансови Процеси
  • Дизайнерски Живот
  • Съвети И Инструменти
  • © 2022 | Всички Права Запазени

    portaldacalheta.pt