Gli utenti finali devono fare qualcosa per il bug di sicurezza Heartbleed? Che cosa?

10

Vedo nelle notizie sul bug di sicurezza "Heartbleed". Come utente finale, devo fare qualcosa al riguardo?

security  passwords  openssl  heartbleed 
danorton
fonte
1
Mostra una mancanza di ricerca il problema è con OpenSSL che è chiaramente lato server.
Ramhound,
4
@Ramhound Potresti fornire un riferimento per questo? Le applicazioni client possono collegarsi alla libreria OpenSSL per fornire funzionalità relative a SSL / TLS (vedere ad esempio questo ). Inoltre, da heartbleed.com (grassetto in evidenza miniera): " Quando viene sfruttato, porta alla perdita di contenuto di memoria dal server al client e dal client al server. "
Daniel Beck
@DanielBeck, Ramhound ha annullato la domanda. Chiunque può aggiungere una risposta "no". (Non ho ancora selezionato una risposta).
Danorton,
Mentre la perdita può verificarsi su entrambi i lati, un hacker malintenzionato non attaccherà il lato client. Tuttavia sostengo la mia affermazione sulla mancanza di ricerca. Inoltre Apache è stato il bersaglio di quello che ho letto
Ramhound,
1
@Ramhound hai letto male. tutto ciò che collega OpenSSL è l'obiettivo. ora, questo include Apache. ma non è affatto limitato ad Apache. e inoltre, ancora non capisco come pensi che questo non sia adeguatamente studiato. inoltre, sei appena caduto in preda a uno dei piccoli stupidi delle 6 idee più stupide in sicurezza informatica : "non siamo un bersaglio" non è un argomento.
Strugee,

Risposte:

7

Sì!

  1. Conoscere e far sapere agli altri che tutte le informazioni potrebbero essere state rivelate che sono state crittografate solo da HTTPS per molti server Web in tutto il mondo.
  2. È necessario contattare i fornitori di servizi e confermare che dispongono di piani o che hanno già adottato le misure necessarie per correggere la vulnerabilità (presumendo che fossero suscettibili ad essa). Ciò include in particolare banche, istituti finanziari e altri servizi che detengono le informazioni più preziose e sensibili. Fino a quando non hanno confermato di aver applicato le correzioni, le informazioni rese disponibili tramite HTTPS rimangono vulnerabili .
  3. I fornitori di servizi potrebbero disabilitare le password precedenti o richiedere in altro modo di modificarle, ma, in caso contrario, modificare le password dopo aver applicato le correzioni .

Puoi trovare le informazioni di base su http://heartbleed.com/

Ulteriori informazioni tecniche sono disponibili da:

Per coloro che non sono utenti finali, vedere questa domanda su serverfault:

danorton
fonte
Come utente finale di Linux, ho OpenSSH 1.0.1e installato sul mio laptop (Debian Wheezy). Non ho ancora nulla di cui preoccuparmi?
@StaceyAnne OpenSSH non è interessato, OpenSSL lo è. era un errore di battitura?
strugee
sì, era un errore di battitura.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilitySuppongo che dai fornitori di servizi intendiate i siti Web e non gli ISP, giusto?
Synetech,
@Synetech, punto goog, ma il testo è imbarazzante. Non è possibile contattare un "sito Web". Mi chiedo quale termine migliore potrebbe andare lì.
danorton,
0

Come utente Linux, avevo OpenSSL 1.0.1e installato sulla mia installazione di Debian 7.0 (wheezy).

Per risolvere il problema, ho fatto questo:

apt-get update
apt-get upgrade openssl

Questo reinstalla OpenSSL e lo sostituisce con 1.0.1e-2, OpenSSL fisso per Debian Wheezy.

Il problema principale è davvero sul lato server, ma è una buona idea aggiornare il tuo client OpenSSL se è installato, per sicurezza. Vedi Debian Security Advisory, DSA-2896-1 openssl - aggiornamento di sicurezza per ulteriori informazioni.

Peter Mortensen
fonte
0

È inoltre necessario aggiornare i client TLS / SSL che utilizzano OpenSSL non appena è disponibile la versione fissa. In particolare client FTPS (FTP su TLS / SSL).

Fortunatamente un exploit della vulnerabilità nei client è meno probabile rispetto ai server.

Guarda anche:

Martin Prikryl
fonte
E le persone si sono rifiutate quando ho detto che uso ancora Outlook Express 6. Chi ride adesso? :-P
Synetech,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.