Нужно ли конечным пользователям что-либо делать с ошибкой безопасности Heartbleed? Какие?

1742
danorton

Я вижу в новостях об ошибке безопасности Heartbleed. Как конечный пользователь, я должен что-нибудь сделать с этим?

10
Это показывает отсутствие исследований, проблема заключается в OpenSSL, который явно на стороне сервера. Ramhound 10 лет назад 1
@Ramhound Не могли бы вы дать ссылку на это? Клиентские приложения могут ссылаться на библиотеку OpenSSL для обеспечения функциональности, связанной с SSL / TLS (см., Например, [this] (http://www.visualsvn.com/support/topic/00056/)). Кроме того, из heartbleed.com (выделение жирным шрифтом выделено): «* При его использовании это приводит к утечке содержимого памяти с сервера на клиент и ** с клиента на сервер. ***» Daniel Beck 10 лет назад 4
@DanielBeck, Ramhound понизил этот вопрос. Любой может добавить ответ «нет». (Я даже еще не выбрал ответ.) danorton 10 лет назад 0
Хотя утечка может произойти на обоих концах, злоумышленник не собирается атаковать сторону клиента. Я придерживаюсь своего утверждения об отсутствии исследования все же. Кроме того, Apache был целью из того, что я прочитал Ramhound 10 лет назад 0
Как я упоминаю в своем ответе ниже, если вы заинтересованы в уязвимостях сервера (и возможностях данных на стороне клиента, которые, возможно, были обнаружены через эти векторы), я рекомендую ознакомиться с этими вопросами и ответами на serverfault: http: / /serverfault.com/questions/587329/heartbleed-what-is-it-and-what-are-options-to-mitigate-it danorton 10 лет назад 0
@ Обнаружил, что ты неправильно прочитал. _anything_, который ссылается на OpenSSL, является целью. Теперь это включает в себя Apache. но это ни в коем случае не ограничено Apache. и кроме того, я все еще не понимаю, как вы думаете, это не было должным образом исследовано. кроме того, вы только что стали жертвой одного из второстепенных «6 самых глупых идей в области компьютерной безопасности» (http://www.ranum.com/security/computer_security/editorials/dumb/) - «мы не цель "не аргумент. strugee 10 лет назад 1

3 ответа на вопрос

7
danorton

Да!

  1. Знайте и сообщайте другим, что, возможно, была раскрыта вся информация, зашифрованная только HTTPS для многих веб-серверов по всему миру.
  2. Вам следует связаться с поставщиками услуг и подтвердить, что у них есть планы или они уже предприняли необходимые шаги для исправления уязвимости (при условии, что они подвержены этой уязвимости). Особенно это касается банков, финансовых учреждений и других служб, которые хранят вашу самую ценную и конфиденциальную информацию. Пока они не подтвердят, что применили исправления, информация, которую они предоставляют вам через HTTPS, остается уязвимой .
  3. Поставщики услуг могут отключить ваши предыдущие пароли или иным образом потребовать от вас их изменения, но, если они этого не делают, измените ваши пароли после того, как они применили исправления .

Вы можете найти основную информацию на http://heartbleed.com/

Более техническая информация доступна от:

Для тех, кто не является конечным пользователем, посмотрите этот вопрос на сервере:

Как конечный пользователь Linux, я установил OpenSSH 1.0.1e на свой ноутбук (Debian Wheezy). Мне все еще не о чем беспокоиться? 10 лет назад 0
@StaceyAnne OpenSSH не затрагивается, OpenSSL. это была опечатка? strugee 10 лет назад 0
да, это была опечатка. 10 лет назад 0
«Вам следует связаться с поставщиками услуг и подтвердить, что у них есть планы или они уже предприняли необходимые шаги для исправления уязвимости». Я полагаю, под «поставщиками услуг» вы имеете в виду веб-сайты, а не интернет-провайдеры, верно? Synetech 10 лет назад 0
@ Synetech, точка зрения Гугла, но формулировка неловкая. Вы не можете связаться с "веб-сайтом". Интересно, что лучше термин может пойти туда. danorton 10 лет назад 0
`Вы не можете связаться с" веб-сайтом ". Я не понимаю, что вы имеете в виду, большинство веб-сайтов имеют ссылку * Contact [us] * внизу страницы, особенно профессиональные компании, такие как банки и тому подобное. Synetech 10 лет назад 0
Многие делают, многие не делают, но вы обращаетесь к веб-сайту не больше, чем к офисному зданию. Вы связываетесь с бизнесом. danorton 10 лет назад 0
0
Peter Mortensen

Как пользователь Linux, я установил OpenSSL 1.0.1e на мою установку Debian 7.0 (wheezy).

Чтобы это исправить, я сделал это:

apt-get update apt-get upgrade openssl

Это переустанавливает OpenSSL и заменяет его на 1.0.1e-2, фиксированный OpenSSL для Debian Wheezy.

Основная проблема действительно на стороне сервера, но это хорошая идея обновить ваш клиент OpenSSL, если он установлен, просто чтобы быть уверенным. Смотрите Debian Security Advisory, DSA-2896-1 openssl - обновление безопасности для получения дополнительной информации.

0
Martin Prikryl

You should also upgrade your TLS/SSL clients that use OpenSSL as soon as fixed version is available. Particularly FTPS (FTP over TLS/SSL) clients.

Fortunately an exploit of the vulnerability in clients is less probable than in servers.

See also:

И люди отказались, когда я сказал, что я все еще использую Outlook Express 6. Кто сейчас смеется? `: -P` Synetech 10 лет назад 0

Похожие вопросы