حفره امنیتی Heartbleed و رفع مشکل
بتازگی حفره امنیتی جدیدی به نام Heartbleed در کتابخانه های ssl یافت شده است که باعث میگردد تا اطلاعات ذخیره شده در حافظه سرویس دهنده و همچنین سرویس گیرنده با حجم 64 کیلو بایت و بیشتر برای مهاجم نمایش داده شود
این حفره امنیتی بسیار جدی میباشد چرا اطلاعات ذخیره شده در 4 سکتور زیر کاملا قابل دسترس خواهد بود
- Primary key : «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیکهای گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد.
- Secondary key : «اطلاعات مربوطه به اعتبارسنجیها»، میتوان نامهای کاربری و رمزهای عبور را در این دست اطلاعات قرار داد.
- Protected content : «محتوای ایمیلها، عکسها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل میتواند به این اطلاعات دسترسی داشته باشد.
- Collatera : «اطلاعات مربوط به Memory» که میتوان جزییات فنی نظیر آدرس حافظه، مکانیزمهای امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره را در این قسمت مشاهده نمود.
جهت تست اینکه آیا سرور شما دارای این باگ امنیتی میباشد و یا خیر کافی است در سایت http://filippo.io/Heartbleed/ پورت 443 سرور را اسکن نمایید
در صورتی که با عبارت All good, yourdomain.com:443 seems fixed or unaffected! روبرو شدید سرور شما دارای این مشکل امنیتی نمیباشد و در عیر اینصورت حتما با مدیر سرور تماس بگیرید تا نسبت به رفع این مشکل اقدام نمایند .
راح حل رفع BUG Heartbleed:
برای رفع مشکل این حفره شما میباید OPENSSL سرور خود را بروز رسانی نمایید . جهت بروز رسانی برنامه PUTY را باز نموده و از طریق SSH لاگین نمایید و دستورات زیر را به ترتیب کپی پیست نموده و اینتر نمایید .
cd /usr/src
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
tar -xvzf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g/
./config -DOPENSSL_NO_HEARTBEATS
make
make test
make install
در آخر کار گنجینه نصاب yum را بروز رسانی نمایید . برای بروزرسانی yum از دستورات زیر استفاده نمایید.
yum clean all
yum update openssl
و در نهایت دستور reboot را تایپ نمایید . کار تمام است حل دوباره به سایت http://filippo.io/Heartbleed/ رفته و آدرس یکی از وب سایت های داخل سرور را با پرت 443 تایپ نمایید و پیام بررسی را مشاهده بفرمایید
