Openssl "Heartbleed" böceği

Başlatan cumali, 09 Nisan 2014 - 00:30:15

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

cumali

Konuyla bir ilgisi varmı bilmiyorum ama gün içinde resmi Arch forumunda ve resmi Manjaro forumunda  OpenSSL ile ilgili konu açılmış ve tartışılmış. Buna özetle OpenSSL güvenlik açığı denebilir.

Arch forum: https://bbs.archlinux.org/viewtopic.php?pid=1401793#p1401793

Manjaro forum : https://forum.manjaro.org/index.php?topic=12441.msg112020#msg112020

Ayrıca bakınız : http://heartbleed.com/

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Test: http://filippo.io/Heartbleed/

Bu güvenlik açığı Arch tarafında ilgili paketler güncellenerek giderilmiş. Ancak Ubuntu tarafında durum nedir açıkçası henüz bilemiyorum.

Konuyla dolaylıda olsa faydası olabilecegini düşündügümden buraya yazma ihtiyacı duydum. Gerekirse arkadaşilar bununla ilgili yeni konu açıp tartışabilir.

heartsmagic

"Heartbleed" böceği Openssl şifreleme kütüphanesinde bulunan ve bellek okumasına, böylelikle de şifrelenen verilerin de elde edilmesine olanak sağlayan bir böcekmiş. Ayrıntılar için @cumali'nin verdiği bağlantılara bakabilirsiniz.

Şu komutu yürüttüğünüzde:
openssl version -b

"Apr 7" veya daha güncel bir tarih görmelisiniz. Örnek:

Alıntı Yapbuilt on: Mon Apr  7 21:22:23 UTC 2014

Bu çıktı 14.04 üzerinde alındı. Şu an 14.04 üzerindeki Openssl sürümü: 1.0.1f-1ubuntu2

Böcek bu sürümde çözülmüş:

apt-get changelog openssl

Alıntı Yapopenssl (1.0.1f-1ubuntu2) trusty; urgency=medium
...
...
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

13.10 üzerindeki sürüm ise: 1.0.1e-3ubuntu1.2

Orada da düzeltilmiş sorun:

Alıntı Yap* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1e-3ubuntu1.2/changelog

Eğer sisteminizi güncellemediyseniz bu açıktan etkilenmemek için güncellemeniz önerilir.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

cagriemer

Ek olarak, Ubuntu ile ciddi bir sunucu isi yapiyorsaniz mutlaka takip etmeniz gereken su adresi de gecelim. http://www.ubuntu.com/usn/

heartsmagic

Bu "acı" bir güvenlik açığı esasında. Eğer Openssl kullanarak bize hizmet veren bir yer varsa ve şu anda bu açığı kapatmıyorsa ya da gereken hızda kapatmıyorsa verilerimiz güvende olmayabilir. Farkındasınızdır zaten bazı siteler bu konuda güncelleme epostaları geçiyorlar, işte şu kadar hızlı davrandık bu kadar hızlı açığı kapattık gibi. Peki kapatmayanlar? Açıkçası ben durumdan işkilleniyorum kendi adıma.

Bir de şu var, bu açık bir süredir mevcut haliyle. Daha önce fark eden birileri olmuş mudur, derin sularda bu malzeme kullanılmış mıdır? Azıcık beyin fırtınası yapsak diyorum.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

cumali

Şu an için verilerin güvende olduğunu söylemek biraz zor. Zira verdigim bağlantı bu acı gerçegi gözler önüne seriyor. https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Dikkatimi çeken Debian'da openssl-1.0.1.g-2 paketi önerilmekte iken Ubuntu cephesinde hala openssl 1.0.1f-1ubuntu2 kullanılması oldu. https://packages.debian.org/sid/openssl

D@bbe

openssl version -b
built on: Mon Apr  7 20:33:19 UTC 2014

bu durumda LinuXMint güvende mi? 

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

matrax_41

Alıntı yapılan: ğarekhasen - 10 Nisan 2014 - 12:00:42
openssl version -b
built on: Mon Apr  7 20:33:19 UTC 2014

bu durumda LinuXMint güvende mi?

Evet linuxmint'teki paket de güncel.

plazma

http://heartbleed.com/ haberine gore openssl hacklenmiş doğru ise şifrelerinizi değiştirin.


D@bbe


poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

sem

".NET çemberinden geçen lirisist etkisi bir 'Volcano', bir yüzüm Java bir yüzüm Badalamenti Don Tano"
----------------------------------------------------------------------------------------------------------------------
"Her yer ölüm yine, burası dünya
Derken ölüm bile bu nasıl dünya?
Benden ölüm dile, batıyor gün yine
Burası dünya?


sem

Yetkili arkadaşlar görünce konuları birleştirirler.

Paylaşım için teşekkürler. Paylaşmadan önce ufak bir arama yararlı olacaktır.

İyi günler.
".NET çemberinden geçen lirisist etkisi bir 'Volcano', bir yüzüm Java bir yüzüm Badalamenti Don Tano"
----------------------------------------------------------------------------------------------------------------------
"Her yer ölüm yine, burası dünya
Derken ölüm bile bu nasıl dünya?
Benden ölüm dile, batıyor gün yine
Burası dünya?

plazma

Bir makale yayınlamışlar :

Heartbleed Bug OpenSSL Nedir, Nasıl Temizlerim?
http://blog.hiperbolik.com/heartbleed-bug-openssl/


AgentForce

Ubuntu 12.04 LTS kullanıyorum. Şu an da Ubuntu 12 güvende mi?


heartsmagic

@AgentForce, o sürüm de güvenli şu anda:
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12/changelog

@cumali, siteler hızlı bir şekilde kapatıyorlar sanırım açıklarını. Örneğin Yahoo ve aradan kullandığım başka bir siteye baktım da durumu düzeltmişler. Esasında şu saatten sonra düzeltmeleri elbette güzel fakat altı aydır etkisi altında olan yerler var normal olarak. Birçok sitede de bu kadar uzun süreli etkisi oldu muhtemelen. Parola değişimi öneriliyor ısrarlı bir şekilde.

Not: Kendi sistemlerimizde kurulu olan Openssl çok fazla önemli değil esasında. Fakat sunucu olarak kullanıyor, kendiniz hizmet alıyor veya hizmet veriyorsanız bu durumda önem teşkil ediyor.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

AgentForce

@heartsmagic: Çok teşekkür ederim yanıtınız için. İçim rahatladı... 

heartsmagic

İçimiz rahatlamasın bence :) Not olarak ekledim, bu paketin bizim sistemlerimizde güncel veya eski olması çok sorun değil. Normal sistemlerde hizmet vermiyoruz bizler ne de olsa. Mesele iki senedir bu açığın mevcut  ve SSL kullanan yerlerin yaklaşık %60'nın OpenSSL kullanıyor olması. Google, Yahoo gibi devler de dahil. Kısacası verilerimizin ve kişisel bilgilerimizin akıbeti pek belli değil.

Ben yavaş yavaş tüm parolalarımı değiştirme kararı aldım, ne olur ne olmaz diyerek biraz da içimin rahatlaması için yapacağım bunu.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

D@bbe

Alıntı yapılan: heartsmagic - 11 Nisan 2014 - 14:51:05
İçimiz rahatlamasın bence :) Not olarak ekledim, bu paketin bizim sistemlerimizde güncel veya eski olması çok sorun değil. Normal sistemlerde hizmet vermiyoruz bizler ne de olsa. Mesele iki senedir bu açığın mevcut  ve SSL kullanan yerlerin yaklaşık %60'nın OpenSSL kullanıyor olması. Google, Yahoo gibi devler de dahil. Kısacası verilerimizin ve kişisel bilgilerimizin akıbeti pek belli değil.

Ben yavaş yavaş tüm parolalarımı değiştirme kararı aldım, ne olur ne olmaz diyerek biraz da içimin rahatlaması için yapacağım bunu.

Google için risk yok asıl risk diğer sitelerde...  >:(  :ok:

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

siberoloji

Bu liste google için sorun yok demiyor ama?

[eklenti yönetici tarafından silindi]

D@bbe

Alıntı yapılan: siberoloji - 11 Nisan 2014 - 19:39:08
Bu liste google için sorun yok demiyor ama?
o liste ya MS yada Apple kuklası kişilerin karalama listesi... bağımsız kişilerin listesinde sorun yok diyor...

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

siberoloji

#20
Hmmmm. Evet. Yine de şifreleri değiştirmekte fayda var.
Gerçi bu hatalı kod 2011 yılında yazılmış raporlanmış ama millet yeni uyandı. Kim bilir başka ne hatalar vardır.

D@bbe

şifreyi binary translate sitelerinde oluşturun... şifre kombinasyonunda sınırsız kaynak... konsantre şifrede oluşturabilirsiniz...  :)

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

plazma


cagriemer

Alıntı yapılan: siberoloji - 11 Nisan 2014 - 20:40:43
Gerçi bu kod hatası 2011 yılında raporlanmış ama millet yeni uyandı.

Ozelligin OpenSSL'e eklenisi Mart 2012'ye denk geliyor. Acaba baska bir sey mi demek istediginiz? Ben anlayamadim herhalde.

Unicode

2 Ay önce SSL hatası aldığımda bu işte bir iş var diye şüphelenmiştim sebebini anlamadığım şekilde günde 3-4 kez SSL hatası alıp duruyordum.
Sebebi buymuş neyseki sadece facebook kullanıyorum faceyede haftada veya ayda 1 online olurum :):)