Vedo nelle notizie sul bug di sicurezza "Heartbleed". Come utente finale, devo fare qualcosa al riguardo?
Vedo nelle notizie sul bug di sicurezza "Heartbleed". Come utente finale, devo fare qualcosa al riguardo?
Risposte:
Sì!
Puoi trovare le informazioni di base su http://heartbleed.com/
Ulteriori informazioni tecniche sono disponibili da:
Per coloro che non sono utenti finali, vedere questa domanda su serverfault:
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerability
Suppongo che dai fornitori di servizi intendiate i siti Web e non gli ISP, giusto?
Come utente Linux, avevo OpenSSL 1.0.1e installato sulla mia installazione di Debian 7.0 (wheezy).
Per risolvere il problema, ho fatto questo:
apt-get update
apt-get upgrade openssl
Questo reinstalla OpenSSL e lo sostituisce con 1.0.1e-2, OpenSSL fisso per Debian Wheezy.
Il problema principale è davvero sul lato server, ma è una buona idea aggiornare il tuo client OpenSSL se è installato, per sicurezza. Vedi Debian Security Advisory, DSA-2896-1 openssl - aggiornamento di sicurezza per ulteriori informazioni.
È inoltre necessario aggiornare i client TLS / SSL che utilizzano OpenSSL non appena è disponibile la versione fissa. In particolare client FTPS (FTP su TLS / SSL).
Fortunatamente un exploit della vulnerabilità nei client è meno probabile rispetto ai server.
Guarda anche:
:-P