Czy użytkownicy końcowi muszą coś zrobić w związku z błędem bezpieczeństwa Heartbleed? Co?

10

Widzę w wiadomościach o błędzie bezpieczeństwa „Heartbleed”. Czy jako użytkownik końcowy muszę coś z tym zrobić?

Danorton
źródło
1
Pokazuje brak badań, że problem dotyczy OpenSSL, który jest wyraźnie po stronie serwera.
Ramhound
4
@Ramhound Czy możesz podać referencje? Aplikacje klienckie mogą łączyć się z biblioteką OpenSSL w celu zapewnienia funkcjonalności związanej z SSL / TLS (patrz np. To ). Ponadto z heartbleed.com (pogrubiona kopalnia wyróżnień): „ Gdy jest wykorzystywany, prowadzi do wycieku zawartości pamięci z serwera do klienta i od klienta do serwera.
Daniel Beck
@DanielBeck, Ramhound przegłosował pytanie. Każdy może dodać odpowiedź „nie”. (Jeszcze nawet nie wybrałem odpowiedzi.)
Danorton
Podczas gdy wyciek może nastąpić na obu końcach, złośliwy haker nie zamierza zaatakować po stronie klienta. Podtrzymuję jednak moje stwierdzenie o braku badań. Ponadto Apache był celem z tego, co przeczytałem
Ramhound
1
@Ramhound źle przeczytałeś. celem jest wszystko , co łączy się z OpenSSL. teraz obejmuje to Apache. ale w żadnym wypadku nie ogranicza się to do Apache. a poza tym nadal nie rozumiem, jak według ciebie nie jest to właściwie zbadane. poza tym właśnie padłeś ofiarą jednego z drobnych głupków z 6 najgłupszych pomysłów w dziedzinie bezpieczeństwa komputerowego - „nie jesteśmy celem” nie jest argumentem.
strugee,

Odpowiedzi:

7

Tak!

  1. Wiedz i daj innym znać, że mogły zostać ujawnione wszystkie informacje, które zostały zaszyfrowane tylko przez HTTPS dla wielu serwerów internetowych na całym świecie.
  2. Należy skontaktować się z dostawcami usług i potwierdzić, że mają oni plany lub podjęli już niezbędne kroki w celu usunięcia luki (zakładając, że są na nią podatni). Dotyczy to w szczególności banków, instytucji finansowych i innych usług, które przechowują najcenniejsze i wrażliwe informacje. Do czasu potwierdzenia, że ​​zastosowali poprawki, informacje, które udostępniają za pośrednictwem HTTPS, pozostają wrażliwe .
  3. Usługodawcy mogą wyłączyć poprzednie hasła lub w inny sposób wymagać ich zmiany, ale jeśli nie, zmień hasła po zastosowaniu poprawek .

Podstawowe informacje można znaleźć na stronie http://heartbleed.com/

Więcej informacji technicznych jest dostępnych na stronie:

Dla tych, którzy nie są użytkownikami końcowymi, zobacz to pytanie na temat błędu serwera:

Danorton
źródło
Jako użytkownik końcowy Linuksa mam OpenSSH 1.0.1e zainstalowany na moim laptopie (Debian Wheezy). Czy nadal nie mam się czym martwić?
@StaceyAnne Nie dotyczy OpenSSH, jest OpenSSL. czy to była literówka?
strugee,
tak, to była literówka.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityZakładam, że przez usługodawców masz na myśli strony internetowe, a nie dostawców usług internetowych, prawda?
Synetech,
@Synetech, goog point, ale sformułowanie jest niezręczne. Nie możesz skontaktować się z „witryną”. Zastanawiam się, jaki może być lepszy termin.
danorton
0

Jako użytkownik Linuksa miałem OpenSSL 1.0.1e zainstalowany na mojej instalacji Debian 7.0 (wheezy).

Aby to naprawić, zrobiłem to:

apt-get update
apt-get upgrade openssl

To ponownie instaluje OpenSSL i zastępuje go 1.0.1e-2, stałym OpenSSL dla Debian Wheezy.

Główny problem jest po stronie serwera, ale dla pewności dobrym pomysłem jest uaktualnienie OpenSSL klienta, jeśli jest zainstalowany. Zobacz Debian Security Advisory, DSA-2896-1 openssl - aktualizacja bezpieczeństwa w celu uzyskania dalszych informacji.

Peter Mortensen
źródło
0

Powinieneś także zaktualizować swoich klientów TLS / SSL, którzy korzystają z OpenSSL, gdy tylko dostępna będzie wersja stała. W szczególności klienci FTPS (FTP przez TLS / SSL).

Na szczęście wykorzystanie luki w klientach jest mniej prawdopodobne niż na serwerach.

Zobacz też:

Martin Prikryl
źródło
Ludzie się zawiedli, kiedy powiedziałem, że nadal używam programu Outlook Express 6. Kto się teraz śmieje? :-P
Synetech,