இதயக்கசிவு: திருத்தங்களுக்கு இடையிலான வேறுபாடு

கட்டற்ற கலைக்களஞ்சியமான விக்கிப்பீடியாவில் இருந்து.
உள்ளடக்கம் நீக்கப்பட்டது உள்ளடக்கம் சேர்க்கப்பட்டது
*விரிவாக்கம்* (edited with ProveIt)
வரிசை 2: வரிசை 2:
[[படிமம்:Heartbleed.svg|thumb|இதயக்கசிவைக் குறித்துநிற்கும் சின்னம். பாதுகாப்பு நிறுவனமான கோடுநோமிக்கோன் (''Codenomicon'') மக்களிடையே விழிப்புணர்வை ஏற்படுத்துவதற்காக இச்சின்னத்தை அறிமுகப்படுத்தியது.<ref name="techcrunch">{{cite web | url=https://techcrunch.com/2014/04/09/heartbleed-the-first-consumer-grade-exploit/ | title=Heartbleed, The First Security Bug With A Cool Logo | publisher=TechCrunch | date=2014 ஏப்ரல் 9 | accessdate=2018 மே 19 | author=John Biggs}}</ref>]]
[[படிமம்:Heartbleed.svg|thumb|இதயக்கசிவைக் குறித்துநிற்கும் சின்னம். பாதுகாப்பு நிறுவனமான கோடுநோமிக்கோன் (''Codenomicon'') மக்களிடையே விழிப்புணர்வை ஏற்படுத்துவதற்காக இச்சின்னத்தை அறிமுகப்படுத்தியது.<ref name="techcrunch">{{cite web | url=https://techcrunch.com/2014/04/09/heartbleed-the-first-consumer-grade-exploit/ | title=Heartbleed, The First Security Bug With A Cool Logo | publisher=TechCrunch | date=2014 ஏப்ரல் 9 | accessdate=2018 மே 19 | author=John Biggs}}</ref>]]


'''இதயக்கசிவு''' (''Heartbleed'') என்பது ஓப்பன் எசு. எசு. எல். [[குறியாக்கவியல்|மறையீட்டியல்]] நூலகத்தில் கண்டறியப்பட்ட ஒரு பாதுகாப்புத் தவறு ஆகும். 2012 இல் மென்பொருளினுள் கொண்டுவரப்பட்ட இத்தவறு குறித்து 2014 ஏப்பிரலில் அறிவிக்கப்பட்டது. தாக்குதலுக்குள்ளாகக்கூடிய ஓப்பன் எசு. எசு. எல். நிரலானது போக்குவரத்து அடுக்குப் பாதுகாப்பு (''Transport Layer Security'') [[வழங்கி]]யாகவோ வாங்கியாகவோ எவ்வாறு இயங்கினாலும் இதயக்கசிவைச் செயற்படுத்தமுடியும். போக்குவரத்து அடுக்குப் பாதுகாப்பு இதயத்துடிப்பு (''Heartbeat'') நீட்சியைச் செய்முறைப்படுத்தும்போது, உள்ளீட்டுச் செல்லுபடியாக்கத்தில் எல்லைகளைச் சரிபார்க்காததால் இத்தவறு ஏற்படுகின்றது. இதன் காரணமாக, இத்தவற்றுக்கு இதயக்கசிவு என்ற பெயர் வழங்கப்பட்டது.
'''இதயக்கசிவு''' (''Heartbleed'') என்பது ஓப்பன் எசு. எசு. எல். [[குறியாக்கவியல்|மறையீட்டியல்]] நூலகத்தில் கண்டறியப்பட்ட ஒரு பாதுகாப்புத் தவறு ஆகும். 2012 இல் மென்பொருளினுள் கொண்டுவரப்பட்ட இத்தவறு குறித்து 2014 ஏப்பிரலில் அறிவிக்கப்பட்டது. தாக்குதலுக்குள்ளாகக்கூடிய ஓப்பன் எசு. எசு. எல். நிரலானது போக்குவரத்து அடுக்குப் பாதுகாப்பு (''Transport Layer Security'') [[வழங்கி]]யாகவோ வாங்கியாகவோ எவ்வாறு இயங்கினாலும் இதயக்கசிவைச் செயற்படுத்தமுடியும். போக்குவரத்து அடுக்குப் பாதுகாப்பு இதயத்துடிப்பு (''Heartbeat'') நீட்சியைச் செய்முறைப்படுத்தும்போது, உள்ளீட்டுச் செல்லுபடியாக்கத்தில் எல்லைகளைச் சரிபார்க்காததால் இத்தவறு ஏற்படுகின்றது.<ref name="register">{{cite web | url=https://www.theregister.co.uk/2014/04/09/heartbleed_explained/ | title=Anatomy of OpenSSL's Heartbleed: Just four bytes trigger horror bug | publisher=Register | date=2014 ஏப்ரல் 9 | accessdate=2018 மே 20 | author=Chris Williams}}</ref> இதன் காரணமாக, இத்தவற்றுக்கு இதயக்கசிவு என்ற பெயர் வழங்கப்பட்டது.


இதயக்கசிவு குறித்து அறிவிக்கப்பட்ட அதே நாளான ஏப்பிரல் 7, 2014 அன்றே திருத்திய ஓப்பன் எசு. எசு. எல். பதிப்பும் வெளியிடப்பட்டது. ஓப்பன் எசு. எசு. எல். தவிர்ந்த ஏனைய போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல்களான குனு தி. எல். எசு, மொசில்லாவின் வலையமைப்புப் பாதுகாப்புச் சேவைகள், விண்டோசின் போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல் போன்றவற்றில் இத்தவறு நிகழவில்லை. ஏனெனில், ஓப்பன் எசு. எசு. எல். செய்முறைப்படுத்தலிலே தவறு இருந்ததேயொழிய, நெறிமுறையில் தவறு இருக்கவில்லை.
இதயக்கசிவு குறித்து அறிவிக்கப்பட்ட அதே நாளான ஏப்பிரல் 7, 2014 அன்றே திருத்திய ஓப்பன் எசு. எசு. எல். பதிப்பும் வெளியிடப்பட்டது. ஓப்பன் எசு. எசு. எல். தவிர்ந்த ஏனைய போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல்களான குனு தி. எல். எசு, மொசில்லாவின் வலையமைப்புப் பாதுகாப்புச் சேவைகள், விண்டோசின் போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல் போன்றவற்றில் இத்தவறு நிகழவில்லை.<ref name="microsoft">{{cite web | url=https://cloudblogs.microsoft.com/microsoftsecure/2014/04/10/microsoft-services-unaffected-by-openssl-heartbleed-vulnerability/ | title=Microsoft Services unaffected by OpenSSL “Heartbleed” vulnerability | publisher=Microsoft Secure | date=2014 ஏப்ரல் 10 | accessdate=2018 மே 20 | author=Tracey Pretorius}}</ref> ஏனெனில், ஓப்பன் எசு. எசு. எல். செய்முறைப்படுத்தலிலே தவறு இருந்ததேயொழிய, நெறிமுறையில் தவறு இருக்கவில்லை.


== நடத்தை ==
== நடத்தை ==
வரிசை 14: வரிசை 14:
=== ஊறுபட்ட ஓப்பன் எசு. எசு. எல். நிறுவல்கள் ===
=== ஊறுபட்ட ஓப்பன் எசு. எசு. எல். நிறுவல்கள் ===


1.0.1 தொடக்கம் 1.0.1எவ்வு வரையான ஓப்பன் எசு. எசு. எல். பதிப்புகள் இதயக்கசிவால் ஊறுபட்டுள்ளன. இப்பதிப்புகளின் நிறுவல்கள் ''-DOPENSSL_NO_HEARTBEATS'' என்று தொகுக்கப்பட்டாலேயொழிய, இதயக்கசிவுக்காளாகக்கூடும்.
1.0.1 தொடக்கம் 1.0.1எவ்வு வரையான ஓப்பன் எசு. எசு. எல். பதிப்புகள் இதயக்கசிவால் ஊறுபட்டுள்ளன.<ref name="cyberoam"/> இப்பதிப்புகளின் நிறுவல்கள் ''-DOPENSSL_NO_HEARTBEATS'' என்று தொகுக்கப்பட்டாலேயொழிய, இதயக்கசிவுக்காளாகக்கூடும்.<ref name="openssl">{{cite web | url=https://www.openssl.org/news/secadv/20140407.txt | title=TLS heartbeat read overrun (CVE-2014-0160) | publisher=OpenSSL | date=2014 ஏப்ரல் 7 | accessdate=2018 மே 20}}</ref>


==== ஊறுபட்ட நிரல்களும் சார்புகளும் ====
==== ஊறுபட்ட நிரல்களும் சார்புகளும் ====


t1_lib.c, d1_both.c ஆகிய நிரல் மூலக்கோப்புகளும் tls1_process_heartbeat(), dtls1_process_heartbeat() ஆகிய சார்புகளும் ஊறுபட்டுள்ளன.
t1_lib.c, d1_both.c ஆகிய நிரல் மூலக்கோப்புகளும் tls1_process_heartbeat(), dtls1_process_heartbeat() ஆகிய சார்புகளும் ஊறுபட்டுள்ளன.<ref name="cyberoam">{{cite web | url=https://web.archive.org/web/20140415030425/http://www.cyberoam.com/blog/cyberoam-users-need-not-bleed-over-heartbleed-exploit/ | title=Cyberoam Users Need not Bleed over Heartbleed Exploit | publisher=Cyberoam | date=2014 ஏப்ரல் 11 | accessdate=2018 மே 20}}</ref>


=== ஒட்டு ===
=== ஒட்டு ===

04:14, 20 மே 2018 இல் நிலவும் திருத்தம்

இதயக்கசிவைக் குறித்துநிற்கும் சின்னம். பாதுகாப்பு நிறுவனமான கோடுநோமிக்கோன் (Codenomicon) மக்களிடையே விழிப்புணர்வை ஏற்படுத்துவதற்காக இச்சின்னத்தை அறிமுகப்படுத்தியது.[1]

இதயக்கசிவு (Heartbleed) என்பது ஓப்பன் எசு. எசு. எல். மறையீட்டியல் நூலகத்தில் கண்டறியப்பட்ட ஒரு பாதுகாப்புத் தவறு ஆகும். 2012 இல் மென்பொருளினுள் கொண்டுவரப்பட்ட இத்தவறு குறித்து 2014 ஏப்பிரலில் அறிவிக்கப்பட்டது. தாக்குதலுக்குள்ளாகக்கூடிய ஓப்பன் எசு. எசு. எல். நிரலானது போக்குவரத்து அடுக்குப் பாதுகாப்பு (Transport Layer Security) வழங்கியாகவோ வாங்கியாகவோ எவ்வாறு இயங்கினாலும் இதயக்கசிவைச் செயற்படுத்தமுடியும். போக்குவரத்து அடுக்குப் பாதுகாப்பு இதயத்துடிப்பு (Heartbeat) நீட்சியைச் செய்முறைப்படுத்தும்போது, உள்ளீட்டுச் செல்லுபடியாக்கத்தில் எல்லைகளைச் சரிபார்க்காததால் இத்தவறு ஏற்படுகின்றது.[2] இதன் காரணமாக, இத்தவற்றுக்கு இதயக்கசிவு என்ற பெயர் வழங்கப்பட்டது.

இதயக்கசிவு குறித்து அறிவிக்கப்பட்ட அதே நாளான ஏப்பிரல் 7, 2014 அன்றே திருத்திய ஓப்பன் எசு. எசு. எல். பதிப்பும் வெளியிடப்பட்டது. ஓப்பன் எசு. எசு. எல். தவிர்ந்த ஏனைய போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல்களான குனு தி. எல். எசு, மொசில்லாவின் வலையமைப்புப் பாதுகாப்புச் சேவைகள், விண்டோசின் போக்குவரத்து அடுக்குப் பாதுகாப்புச் செய்முறைப்படுத்தல் போன்றவற்றில் இத்தவறு நிகழவில்லை.[3] ஏனெனில், ஓப்பன் எசு. எசு. எல். செய்முறைப்படுத்தலிலே தவறு இருந்ததேயொழிய, நெறிமுறையில் தவறு இருக்கவில்லை.

நடத்தை

ஆர். எவ்வு. சி. 6520 இதயத்துடிப்பு நீட்சியானது போக்குவரத்து அடுக்குப் பாதுகாப்பு/தரவேட்டுப் போக்குவரத்து அடுக்குப் பாதுகாப்புக் (TLS/DTLS) காப்புத் தொடர்பாடல் இணைப்புகளைச் சோதிக்கப் பயன்படுகின்றது. இதன்போது, ஒரு முனையில் இணைக்கப்பட்டுள்ள கணினியானது, 16-நுண்மி முழு எண் நீளம் கொண்ட தரவை (பொதுவாக, ஓர் உரைச்சரம்) உள்ளடக்கிய ஓர் இதயத்துடிப்புச் செய்தியை அனுப்பிவைக்கும். செய்தியைப் பெறும் கணினியும் அதே தரவை அனுப்பிய கணினிக்கு அனுப்பவேண்டும்.

ஊறுபட்ட ஓப்பன் எசு. எசு. எல். பதிப்புகள் தரவின் அளவின் அடிப்படையில் நினைவகத் தாங்ககத்தை (Memory buffer) ஒதுக்காமல், வேண்டுகோள் செய்தியில் குறிப்பிடப்பட்டுள்ள நீளத்தின் அடிப்படையில் நினைவகத் தாங்ககத்தை ஒதுக்குகின்றன. சரிவர எல்லைகளைச் சரிபார்க்காததால், மீண்டும் பெறப்படும் செய்தியானது அனுப்பப்பட்ட தரவையும், அதற்கு மேலதிகமாக ஒதுக்கப்பட்ட நினைவகத் தாங்ககத்தில் இருந்த வேறு தரவையும் கொண்டிருக்கக்கூடும்.

ஊறுபட்ட ஓப்பன் எசு. எசு. எல். நிறுவல்கள்

1.0.1 தொடக்கம் 1.0.1எவ்வு வரையான ஓப்பன் எசு. எசு. எல். பதிப்புகள் இதயக்கசிவால் ஊறுபட்டுள்ளன.[4] இப்பதிப்புகளின் நிறுவல்கள் -DOPENSSL_NO_HEARTBEATS என்று தொகுக்கப்பட்டாலேயொழிய, இதயக்கசிவுக்காளாகக்கூடும்.[5]

ஊறுபட்ட நிரல்களும் சார்புகளும்

t1_lib.c, d1_both.c ஆகிய நிரல் மூலக்கோப்புகளும் tls1_process_heartbeat(), dtls1_process_heartbeat() ஆகிய சார்புகளும் ஊறுபட்டுள்ளன.[4]

ஒட்டு

தேவைக்கதிகமான தரவைக் கேட்கும் இதயத்துடிப்புச் செய்திகளைப் புறக்கணிப்பதன் மூலம் இச்சிக்கலைத் தீர்க்கமுடியும்.

ஓப்பன் எசு. எசு. எல். பதிப்பு 1.01சியில் (1.01g) சில எல்லைகளைச் சரிபார்ப்பதன் மூலம் இத்தவறு தவிர்க்கப்படுகின்றது. ஓர் இதயத்துடிப்பு வேண்டுகோளானது இதயக்கசிவை ஏற்படுத்துமா என்று பார்க்க, பின்வரும் சோதனை அறிமுகப்படுத்தப்பட்டது.

if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* ஆர். எவ்வு. சி. 6520 பகுதி 4 இற்கு ஏற்ப அமைதியாகப் புறக்கணி */

தாக்கம்

இதயக்கசிவுத் தாக்குதலில் பெறப்படும் தரவில் போக்குவரத்து அடுக்குப் பாதுகாப்புத் தரப்புகளிடையேயான மறைகுறியாக்கப்படாப் பரிமாற்றங்கள் இருக்கக்கூடும். கமுக்கமாக இருக்கவேண்டிய இத்தரவில் அமர்வு நினைவிகள், கடவுச்சொற்கள் போன்றவை இருக்கக்கூடும். இவற்றைப் பயன்படுத்தி பயனர் ஒருவரைப் போல் ஆள் மாறாட்டம் செய்யமுடியும்.

தாக்குதலின்போது ஊறுபட்ட தரப்புகளின் தனிப்பட்ட விசைகளும் கிடைக்கக்கூடும். தொடர்பாடல்களை மறையீடுநீக்க இவற்றைப் பயன்படுத்தமுடியும்.

ஊறுபட்ட முறைமைகள்

சிசுக்கோ சிசுற்றமிசு, அதன் 78 தயாரிப்புகள் ஊறுபாட்டுக்காளாகக்கூடியவை எனக் கண்டறிந்துள்ளது.

வலைத்தளங்களும் தொடரறாச் சேவைகளும்

கிற்றபில் (Github) ஏப்பிரல் 8, 2014 அன்று பதியப்பட்ட ஒரு பகுப்பாய்வில் யாகூ!, இமேசர் (Imgur), தக்கு ஓவர்புலோ, சிலேற்று, இடக்குடக்கோ போன்ற தளங்களில் ஊறுபாடு இருப்பதாகத் தெரிவிக்கப்பட்டது. சேவைகள் ஊறுபாட்டுக்காளாகிய தளங்களும் கடவுச்சொற்களை மாற்றுமாறு பயனர்களுக்குப் பரிந்துரைத்து அறிவிப்புவிடுத்த தளங்களும் பின்வருமாறு:

  • அக்கமை தெக்குனோலொசீசு (Akamai Technologies)
  • அமேசன் வலைச் சேவைகள்
  • ஆசு தெக்குனிக்கா (Ars Technica)
  • பிற்றுபக்கெற்று
  • பிறாண்டுவெரிற்றி
  • பிறீநோடு
  • கிற்றபு
  • இவ்வு திசு தென் தற்று (IFTTT)
  • இணைய ஆவணகம்
  • முயங்கு (Mojang)
  • மமிசுநெற்று (Mumsnet)
  • பியர்சே (PeerJ)
  • பிண்டறெசுற்று
  • பிறெசி
  • இறெடிற்று
  • சந்திங்கு ஓபுல் (Something Aweful)
  • சவுண்டுக்கிளவுடு
  • சோர்சுபோர்கி
  • பாக்குபண் (SparkFun)
  • திறைப்பு (Stripe)
  • தம்பிளர்
  • எல்லா விக்கிமீடிய நிறுவன விக்கிகளும்
  • உவுண்டருலிசுற்று (Wunderlist)

மேற்கோள்கள்

  1. John Biggs (2014 ஏப்ரல் 9). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. பார்க்கப்பட்ட நாள் 2018 மே 19. {{cite web}}: Check date values in: |accessdate= and |date= (help)
  2. Chris Williams (2014 ஏப்ரல் 9). "Anatomy of OpenSSL's Heartbleed: Just four bytes trigger horror bug". Register. பார்க்கப்பட்ட நாள் 2018 மே 20. {{cite web}}: Check date values in: |accessdate= and |date= (help)
  3. Tracey Pretorius (2014 ஏப்ரல் 10). "Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability". Microsoft Secure. பார்க்கப்பட்ட நாள் 2018 மே 20. {{cite web}}: Check date values in: |accessdate= and |date= (help)
  4. 4.0 4.1 "Cyberoam Users Need not Bleed over Heartbleed Exploit". Cyberoam. 2014 ஏப்ரல் 11. பார்க்கப்பட்ட நாள் 2018 மே 20. {{cite web}}: Check date values in: |accessdate= and |date= (help)
  5. "TLS heartbeat read overrun (CVE-2014-0160)". OpenSSL. 2014 ஏப்ரல் 7. பார்க்கப்பட்ட நாள் 2018 மே 20. {{cite web}}: Check date values in: |accessdate= and |date= (help)
"https://ta.wikipedia.org/w/index.php?title=இதயக்கசிவு&oldid=2526853" இலிருந்து மீள்விக்கப்பட்டது