Чи потрібно кінцевим користувачам щось робити щодо помилки безпеки Heartbleed? Що?


10

Я бачу в новинах про помилку безпеки "Heartbleed". Як кінцевому користувачеві, чи потрібно мені щось робити?


1
Це свідчить про відсутність досліджень. Проблема полягає в OpenSSL, який чітко стоїть на сервері.
Рамхаунд

4
@Ramhound Не могли б ви надати посилання на це? Клієнтські програми можуть посилатися на бібліотеку OpenSSL, щоб забезпечити функціонал, пов'язаний з SSL / TLS (див., Наприклад, це ). Крім того, з heartbleed.com (жирне виділення міни): " Коли він використовується, це призводить до витоку вмісту пам'яті з сервера на клієнта і з клієнта на сервер. "
Даніель Бек

@DanielBeck, Ramhound відмовив від питання. Будь-хто може додати відповідь "ні". (Я ще навіть не вибрав відповіді.)
Данртон

Хоча витік може статися на обох кінцях, зловмисний хакер не збирається атакувати клієнтську сторону. Я, однак, стою біля своєї заяви про відсутність досліджень. Крім того, Apache був ціллю з того, що я прочитав
Рамхаунд

1
@Ramhound ти неправильно прочитав. все, що пов’язує проти OpenSSL, є ціллю. тепер, що включає Apache. але це аж ніяк не обмежується Apache. і до того ж я все ще не розумію, як ви вважаєте, що це недостатньо досліджено. окрім того, ви щойно стали здобиччю до одного із незначних помилок 6 найглуміших ідей комп'ютерної безпеки - "ми не ціль" - це не аргумент.
strugee

Відповіді:


7

Так!

  1. Знайте та повідомляйте інших про те, що вся інформація могла бути виявлена, що була зашифрована лише HTTPS для багатьох веб-серверів по всьому світу.
  2. Вам слід зв’язатися зі своїми постачальниками послуг і підтвердити, що вони мають плани або вже вжили необхідних заходів для виправлення вразливості (припускаючи, що вони сприйнятливі до неї). Особливо це стосується банків, фінансових установ та інших служб, які зберігають вашу найціннішу та найчутливішу інформацію. Поки вони не підтвердять, що вони застосували виправлення, інформація, яку вони надають вам через HTTPS, залишається вразливою .
  3. Ваші постачальники послуг можуть відключити ваші попередні паролі або іншим чином вимагати від вас їх змінити, але, якщо вони не відбулися , змініть ваші паролі після того, як вони застосували виправлення .

Основну інформацію можна знайти на веб-сайті http://heartbleed.com/

Більше технічної інформації можна отримати з:

Для тих, хто не є кінцевими користувачами, дивіться це запитання на сервері за замовчуванням:


Як кінцевий користувач Linux, у мене на ноутбуці встановлений OpenSSH 1.0.1e (Debian Wheezy). Мені все-таки нема про що турбуватися?

@StaceyAnne OpenSSH не впливає, OpenSSL є. це був друкарський помилок?
strugee

так, це була помилка друку.

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityЯ вважаю, що постачальниками послуг ви маєте на увазі веб-сайти, а не провайдери прав?
Synetech

@Synetech, goog point, але формулювання незручне. Ви не можете зв’язатися з "веб-сайтом". Цікаво, який кращий термін може бути там.
данторн

0

Як користувач Linux, я встановив OpenSSL 1.0.1e на моїй установці Debian 7.0 (wheezy).

Щоб виправити це, я зробив це:

apt-get update
apt-get upgrade openssl

Це перевстановлює OpenSSL і замінює його 1.0.1e-2, фіксованим OpenSSL для Debian Wheezy.

Основна проблема дійсно на стороні сервера, але це гарна ідея оновити свій клієнт OpenSSL, якщо він встановлений, просто для впевненості. Див. Рекомендації щодо безпеки Debian, DSA-2896-1 openssl - оновлення безпеки для отримання додаткової інформації.


0

Вам слід також оновити клієнтів TLS / SSL, які використовують OpenSSL, як тільки з’явиться фіксована версія. Особливо FTPS (FTP через TLS / SSL) клієнтів.

На щастя, використання вразливості у клієнтів менш вірогідне, ніж у серверах.

Дивись також:


І люди зголосилися, коли я сказав, що я все ще використовую Outlook Express 6. Хто зараз сміється? :-P
Synetech
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.