हार्टब्लड भेद्यता क्या है?

अनेक वस्तुओं का संग्रहDec 19, 2021

2010 के मध्य की सबसे प्रसिद्ध कमजोरियों में से एक को "हार्दिक" कहा जाता था। हार्टब्लिड विशेष रूप से गंभीर था क्योंकि यह सॉफ्टवेयर "ओपनएसएसएल" को प्रभावित करता था, जो एचटीटीपीएस कनेक्शन के लिए मुख्य क्रिप्टोग्राफिक लाइब्रेरी है, जो बहुत व्यापक रूप से उपयोग किया जाता है। मामलों को बदतर बनाने के लिए, ओपनएसएसएल में दो साल से अधिक समय से भेद्यता मौजूद थी इसे खोजा गया, प्रचारित किया गया, और पैच किया गया, जिसका अर्थ था कि बहुत से लोग कमजोर का उपयोग कर रहे थे संस्करण।

Heartbleed दिल की धड़कन के विस्तार में एक डेटा रिसाव भेद्यता थी जिसका शोषण करने पर सर्वर से क्लाइंट तक RAM से लीक हुए डेटा का शोषण किया जाता था। सामान्य पृष्ठ अनुरोध किए बिना वेब सर्वर और क्लाइंट के बीच संबंध बनाए रखने के लिए दिल की धड़कन एक्सटेंशन का उपयोग किया जाता है।

ओपनएसएसएल के मामले में, क्लाइंट सर्वर को एक संदेश भेजता है और सर्वर को सूचित करता है कि संदेश कितना लंबा है, 64KB तक। सर्वर को फिर उसी संदेश को वापस प्रतिध्वनित करना चाहिए। महत्वपूर्ण रूप से, हालांकि, सर्वर ने वास्तव में यह जांच नहीं की कि संदेश तब तक था जब तक क्लाइंट ने दावा किया था कि यह था। इसका मतलब है कि एक ग्राहक 10KB संदेश भेज सकता है, दावा कर सकता है कि यह 64KB था और 64KB प्रतिक्रिया प्राप्त कर सकता है, अतिरिक्त 54KB में अगले 54KB RAM शामिल है, चाहे वहां कोई भी डेटा संग्रहीत किया गया हो। इस प्रक्रिया की अच्छी तरह से कल्पना की गई है

एक्सकेसीडी कॉमिक #1354.

छवि सौजन्य xkcd.com.

बहुत सारे छोटे दिल की धड़कन अनुरोध करके, और दावा करते हुए कि वे बड़े थे, एक हमलावर प्रतिक्रियाओं को एक साथ जोड़कर सर्वर की अधिकांश रैम की तस्वीर बना सकता था। RAM में संग्रहीत डेटा जो लीक हो सकता है, उसमें एन्क्रिप्शन कुंजियाँ, HTTPS प्रमाणपत्र, साथ ही अनएन्क्रिप्टेड POST डेटा जैसे उपयोगकर्ता नाम और पासवर्ड शामिल हैं।

नोट: यह कम प्रसिद्ध है लेकिन दिल की धड़कन प्रोटोकॉल और शोषण ने दूसरी दिशा में भी काम किया। एक दुर्भावनापूर्ण सर्वर को प्रति दिल की धड़कन अनुरोध 64KB तक उपयोगकर्ता मेमोरी पढ़ने के लिए कॉन्फ़िगर किया जा सकता था।

इस मुद्दे को कई सुरक्षा शोधकर्ताओं ने स्वतंत्र रूप से पहली अप्रैल 2014 को खोजा था और ओपनएसएसएल को निजी तौर पर इसका खुलासा किया गया था ताकि एक पैच बनाया जा सके। सात अप्रैल 2014 को पैच जारी होने पर बग का प्रचार किया गया था। समस्या को हल करने का सबसे अच्छा समाधान पैच को लागू करना था, लेकिन अगर तुरंत पैचिंग एक विकल्प नहीं था, तो दिल की धड़कन के विस्तार को अक्षम करके समस्या को दूर करना भी संभव था।

दुर्भाग्य से, शोषण के सार्वजनिक होने और आम तौर पर प्रसिद्ध होने के बावजूद, कई वेबसाइटें अभी भी तुरंत अपडेट नहीं हुईं, भेद्यता अभी भी कभी-कभी वर्षों बाद भी पाई जाती है। इसके कारण खातों तक पहुंच प्राप्त करने या डेटा लीक करने के लिए उपयोग किए जाने वाले शोषण के कई उदाहरण सामने आए।