Нужно ли конечным пользователям что-либо делать с ошибкой безопасности Heartbleed? Какая?

10

Я вижу в новостях об ошибке безопасности Heartbleed. Как конечный пользователь, я должен что-нибудь сделать с этим?

security passwords openssl heartbleed danorton
источник
1
Это показывает отсутствие исследований, проблема заключается в OpenSSL, который явно на стороне сервера.
Ramhound
4
@Ramhound Не могли бы вы дать ссылку на это? Клиентские приложения могут ссылаться на библиотеку OpenSSL для обеспечения функциональности, связанной с SSL / TLS (см., Например, это ). Кроме того , из heartbleed.com (полужирная выделить мой): « Когда эксплуатировали это приводит к утечке содержимого памяти от сервера к клиенту и от клиента к серверу. »
Daniel Beck
@DanielBeck, Ramhound отклонил вопрос. Любой может добавить ответ «нет». (Я даже еще не выбрал ответ.)
Данортон
Хотя утечка может произойти на обоих концах, злоумышленник не собирается атаковать сторону клиента. Я придерживаюсь своего утверждения об отсутствии исследования все же. Кроме того, Apache был целью из того, что я прочитал
Ramhound
1
@ Обнаружил, что ты неправильно прочитал. все, что связано с OpenSSL, является целью. Теперь это включает в себя Apache. но это ни в коем случае не ограничено Apache. и кроме того, я до сих пор не понимаю, как вы думаете, это не должным образом исследовано. кроме того, вы только что стали жертвой одного из второстепенных « 6 самых глупых идей в области компьютерной безопасности» - «мы не цель» - не аргумент.
Strugee

Ответы:

7

Да!

  1. Знайте и дайте знать другим, что может быть раскрыта вся информация , зашифрованная только HTTPS для многих веб-серверов по всему миру.
  2. Вам следует связаться с поставщиками услуг и подтвердить, что у них есть планы или они уже предприняли необходимые шаги для исправления уязвимости (при условии, что они подвержены этой уязвимости). Особенно это касается банков, финансовых учреждений и других служб, которые хранят вашу самую ценную и конфиденциальную информацию. Пока они не подтвердят, что применили исправления, информация, которую они предоставляют вам через HTTPS, остается уязвимой .
  3. Поставщики услуг могут отключить ваши предыдущие пароли или иным образом потребовать от вас их изменения, но, если они этого не делают, измените ваши пароли после того, как они применили исправления .

Вы можете найти основную информацию на http://heartbleed.com/

Более техническая информация доступна от:

Для тех, кто не является конечным пользователем, посмотрите этот вопрос на serverfault:

danorton
источник
Как конечный пользователь Linux, на моем ноутбуке установлен OpenSSH 1.0.1e (Debian Wheezy). Мне все еще не о чем беспокоиться?
@StaceyAnne OpenSSH не затрагивается, OpenSSL. это была опечатка?
Strugee
да, это была опечатка.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityЯ предполагаю, что под поставщиками услуг вы имеете в виду сайты, а не интернет-провайдеры, верно?
Synetech
@ Synetech, точка зрения Гугла, но формулировка неловкая. Вы не можете связаться с "веб-сайтом". Интересно, какой лучший термин мог бы пойти туда.
Данортон
0

Как пользователь Linux, я установил OpenSSL 1.0.1e на мою установку Debian 7.0 (wheezy).

Чтобы это исправить, я сделал это:

apt-get update
apt-get upgrade openssl

Это переустанавливает OpenSSL и заменяет его на 1.0.1e-2, фиксированный OpenSSL для Debian Wheezy.

Основная проблема действительно на стороне сервера, но это хорошая идея, чтобы обновить ваш клиент OpenSSL, если он установлен, просто чтобы быть уверенным. Смотрите Debian Security Advisory, DSA-2896-1 openssl - обновление безопасности для получения дополнительной информации.

Питер Мортенсен
источник
0

Вам также следует обновить ваши клиенты TLS / SSL, которые используют OpenSSL, как только будет доступна фиксированная версия. В частности, клиенты FTPS (FTP через TLS / SSL).

К счастью, использование уязвимости в клиентах менее вероятно, чем в серверах.

Смотрите также:

Мартин Прикрыл
источник
И люди отказались, когда я сказал, что я все еще использую Outlook Express 6. Кто сейчас смеется? :-P
Synetech