Я бачу в новинах про помилку безпеки "Heartbleed". Як кінцевому користувачеві, чи потрібно мені щось робити?
Я бачу в новинах про помилку безпеки "Heartbleed". Як кінцевому користувачеві, чи потрібно мені щось робити?
Відповіді:
Так!
Основну інформацію можна знайти на веб-сайті http://heartbleed.com/
Більше технічної інформації можна отримати з:
Для тих, хто не є кінцевими користувачами, дивіться це запитання на сервері за замовчуванням:
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerability
Я вважаю, що постачальниками послуг ви маєте на увазі веб-сайти, а не провайдери прав?
Як користувач Linux, я встановив OpenSSL 1.0.1e на моїй установці Debian 7.0 (wheezy).
Щоб виправити це, я зробив це:
apt-get update
apt-get upgrade openssl
Це перевстановлює OpenSSL і замінює його 1.0.1e-2, фіксованим OpenSSL для Debian Wheezy.
Основна проблема дійсно на стороні сервера, але це гарна ідея оновити свій клієнт OpenSSL, якщо він встановлений, просто для впевненості. Див. Рекомендації щодо безпеки Debian, DSA-2896-1 openssl - оновлення безпеки для отримання додаткової інформації.
Вам слід також оновити клієнтів TLS / SSL, які використовують OpenSSL, як тільки з’явиться фіксована версія. Особливо FTPS (FTP через TLS / SSL) клієнтів.
На щастя, використання вразливості у клієнтів менш вірогідне, ніж у серверах.
Дивись також:
:-P