Openssl "Heartbleed" böceği

[cumali]

Konuyla bir ilgisi varmı bilmiyorum ama gün içinde resmi Arch forumunda ve resmi Manjaro forumunda  OpenSSL ile ilgili konu açılmış ve tartışılmış. Buna özetle OpenSSL güvenlik açığı denebilir.

Arch forum: https://bbs.archlinux.org/viewtopic.php?pid=1401793#p1401793

Manjaro forum : https://forum.manjaro.org/index.php?topic=12441.msg112020#msg112020

Ayrıca bakınız : http://heartbleed.com/

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Test: http://filippo.io/Heartbleed/

Bu güvenlik açığı Arch tarafında ilgili paketler güncellenerek giderilmiş. Ancak Ubuntu tarafında durum nedir açıkçası henüz bilemiyorum.

Konuyla dolaylıda olsa faydası olabilecegini düşündügümden buraya yazma ihtiyacı duydum. Gerekirse arkadaşilar bununla ilgili yeni konu açıp tartışabilir.

[heartsmagic]

"Heartbleed" böceği Openssl şifreleme kütüphanesinde bulunan ve bellek okumasına, böylelikle de şifrelenen verilerin de elde edilmesine olanak sağlayan bir böcekmiş. Ayrıntılar için @cumali'nin verdiği bağlantılara bakabilirsiniz.

Şu komutu yürüttüğünüzde:

Kod Seç Genişlet

openssl version -b

"Apr 7" veya daha güncel bir tarih görmelisiniz. Örnek:

built on: Mon Apr  7 21:22:23 UTC 2014

Bu çıktı 14.04 üzerinde alındı. Şu an 14.04 üzerindeki Openssl sürümü: 1.0.1f-1ubuntu2

Böcek bu sürümde çözülmüş:

Kod Seç Genişlet

apt-get changelog openssl

openssl (1.0.1f-1ubuntu2) trusty; urgency=medium
...
...
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

13.10 üzerindeki sürüm ise: 1.0.1e-3ubuntu1.2

Orada da düzeltilmiş sorun:

* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1e-3ubuntu1.2/changelog

Eğer sisteminizi güncellemediyseniz bu açıktan etkilenmemek için güncellemeniz önerilir.

[cagriemer]

Ek olarak, Ubuntu ile ciddi bir sunucu isi yapiyorsaniz mutlaka takip etmeniz gereken su adresi de gecelim. http://www.ubuntu.com/usn/

[heartsmagic]

Bu "acı" bir güvenlik açığı esasında. Eğer Openssl kullanarak bize hizmet veren bir yer varsa ve şu anda bu açığı kapatmıyorsa ya da gereken hızda kapatmıyorsa verilerimiz güvende olmayabilir. Farkındasınızdır zaten bazı siteler bu konuda güncelleme epostaları geçiyorlar, işte şu kadar hızlı davrandık bu kadar hızlı açığı kapattık gibi. Peki kapatmayanlar? Açıkçası ben durumdan işkilleniyorum kendi adıma.

Bir de şu var, bu açık bir süredir mevcut haliyle. Daha önce fark eden birileri olmuş mudur, derin sularda bu malzeme kullanılmış mıdır? Azıcık beyin fırtınası yapsak diyorum.

[cumali]

Şu an için verilerin güvende olduğunu söylemek biraz zor. Zira verdigim bağlantı bu acı gerçegi gözler önüne seriyor. https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Dikkatimi çeken Debian'da openssl-1.0.1.g-2 paketi önerilmekte iken Ubuntu cephesinde hala openssl 1.0.1f-1ubuntu2 kullanılması oldu. https://packages.debian.org/sid/openssl

[D@bbe]

Kod Seç Genişlet

openssl version -b
built on: Mon Apr  7 20:33:19 UTC 2014

bu durumda LinuXMint güvende mi? 

[matrax_41]

Kod Seç Genişlet

openssl version -b
built on: Mon Apr  7 20:33:19 UTC 2014

bu durumda LinuXMint güvende mi?

Evet linuxmint'teki paket de güncel.

[plazma]

http://heartbleed.com/ haberine gore openssl hacklenmiş doğru ise şifrelerinizi değiştirin.

[D@bbe]

Pisi Linux Şubattan kalma...

[sem]

https://forum.ubuntu-tr.net/index.php?topic=42949.msg502460;topicseen#msg502460

[plazma]

https://forum.ubuntu-tr.net/index.php?topic=42949.msg502460;topicseen#msg502460

Ben bunu görmemişim hocam.

[sem]

Yetkili arkadaşlar görünce konuları birleştirirler.

Paylaşım için teşekkürler. Paylaşmadan önce ufak bir arama yararlı olacaktır.

İyi günler.

[plazma]

Bir makale yayınlamışlar :

Kod Seç Genişlet

Heartbleed Bug OpenSSL Nedir, Nasıl Temizlerim?
http://blog.hiperbolik.com/heartbleed-bug-openssl/

[AgentForce]

Ubuntu 12.04 LTS kullanıyorum. Şu an da Ubuntu 12 güvende mi?

[heartsmagic]

@AgentForce, o sürüm de güvenli şu anda:
http://changelogs.ubuntu.com/changelogs/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12/changelog

@cumali, siteler hızlı bir şekilde kapatıyorlar sanırım açıklarını. Örneğin Yahoo ve aradan kullandığım başka bir siteye baktım da durumu düzeltmişler. Esasında şu saatten sonra düzeltmeleri elbette güzel fakat altı aydır etkisi altında olan yerler var normal olarak. Birçok sitede de bu kadar uzun süreli etkisi oldu muhtemelen. Parola değişimi öneriliyor ısrarlı bir şekilde.

Not: Kendi sistemlerimizde kurulu olan Openssl çok fazla önemli değil esasında. Fakat sunucu olarak kullanıyor, kendiniz hizmet alıyor veya hizmet veriyorsanız bu durumda önem teşkil ediyor.

[AgentForce]

@heartsmagic: Çok teşekkür ederim yanıtınız için. İçim rahatladı... 

[heartsmagic]

İçimiz rahatlamasın bence  Not olarak ekledim, bu paketin bizim sistemlerimizde güncel veya eski olması çok sorun değil. Normal sistemlerde hizmet vermiyoruz bizler ne de olsa. Mesele iki senedir bu açığın mevcut  ve SSL kullanan yerlerin yaklaşık %60'nın OpenSSL kullanıyor olması. Google, Yahoo gibi devler de dahil. Kısacası verilerimizin ve kişisel bilgilerimizin akıbeti pek belli değil.

Ben yavaş yavaş tüm parolalarımı değiştirme kararı aldım, ne olur ne olmaz diyerek biraz da içimin rahatlaması için yapacağım bunu.

[D@bbe]

İçimiz rahatlamasın bence Not olarak ekledim, bu paketin bizim sistemlerimizde güncel veya eski olması çok sorun değil. Normal sistemlerde hizmet vermiyoruz bizler ne de olsa. Mesele iki senedir bu açığın mevcut  ve SSL kullanan yerlerin yaklaşık %60'nın OpenSSL kullanıyor olması. Google, Yahoo gibi devler de dahil. Kısacası verilerimizin ve kişisel bilgilerimizin akıbeti pek belli değil.

Ben yavaş yavaş tüm parolalarımı değiştirme kararı aldım, ne olur ne olmaz diyerek biraz da içimin rahatlaması için yapacağım bunu.

Google için risk yok asıl risk diğer sitelerde...    :ok:

[siberoloji]

Bu liste google için sorun yok demiyor ama?

[eklenti yönetici tarafından silindi]

[D@bbe]

Bu liste google için sorun yok demiyor ama?

o liste ya MS yada Apple kuklası kişilerin karalama listesi... bağımsız kişilerin listesinde sorun yok diyor...

[siberoloji]

Hmmmm. Evet. Yine de şifreleri değiştirmekte fayda var.
Gerçi bu hatalı kod 2011 yılında yazılmış raporlanmış ama millet yeni uyandı. Kim bilir başka ne hatalar vardır.

[D@bbe]

şifreyi binary translate sitelerinde oluşturun... şifre kombinasyonunda sınırsız kaynak... konsantre şifrede oluşturabilirsiniz... 

[plazma]

SteamOS ta etkilenenler arasıda. http://www.sistemlinux.org/2014/04/steamos-heartbleed-acgndan-etkilendi.html

[cagriemer]

Gerçi bu kod hatası 2011 yılında raporlanmış ama millet yeni uyandı.

Ozelligin OpenSSL'e eklenisi Mart 2012'ye denk geliyor. Acaba baska bir sey mi demek istediginiz? Ben anlayamadim herhalde.

[Unicode]

2 Ay önce SSL hatası aldığımda bu işte bir iş var diye şüphelenmiştim sebebini anlamadığım şekilde günde 3-4 kez SSL hatası alıp duruyordum.
Sebebi buymuş neyseki sadece facebook kullanıyorum faceyede haftada veya ayda 1 online olurum