Người dùng cuối có cần phải làm gì với lỗi bảo mật Heartbleed không? Gì?


10

Tôi thấy trong các tin tức về lỗi bảo mật của Heart Hearteded. Là người dùng cuối, tôi có cần phải làm gì không?


1
Nó cho thấy sự thiếu nghiên cứu về vấn đề với OpenSSL, phía máy chủ rõ ràng.
Ramhound

4
@Ramhound Bạn có thể cung cấp một tài liệu tham khảo cho điều đó? Các ứng dụng khách có thể liên kết với thư viện OpenSSL để cung cấp chức năng liên quan đến SSL / TLS (xem ví dụ này ). Ngoài ra, từ heartbleed.com (phần tô đậm của tôi): " Khi bị khai thác, nó dẫn đến rò rỉ nội dung bộ nhớ từ máy chủ đến máy khách và từ máy khách đến máy chủ. "
Daniel Beck

@DanielBeck, Ramhound hạ thấp câu hỏi. Bất cứ ai cũng có thể thêm một câu trả lời không có tiếng Việt. (Tôi thậm chí chưa chọn câu trả lời.)
danorton

Mặc dù rò rỉ có thể xảy ra ở cả hai đầu, một tin tặc độc hại sẽ không tấn công phía khách hàng. Tôi đứng trước tuyên bố của tôi về việc thiếu nghiên cứu mặc dù. Hơn nữa, Apache là mục tiêu từ những gì tôi đọc
Ramhound

1
@Ramhound bạn đọc nhầm. bất cứ điều gì liên kết với OpenSSL là mục tiêu. bây giờ, bao gồm cả Apache. nhưng nó không có nghĩa là giới hạn đối với Apache. và bên cạnh đó, tôi vẫn không hiểu bạn nghĩ điều này không được nghiên cứu đúng mức. bên cạnh đó, bạn vừa trở thành con mồi của một trong những ý tưởng nhỏ trong 6 ý tưởng ngu ngốc nhất trong Bảo mật máy tính - "chúng tôi không phải là mục tiêu" không phải là một đối số.
strugee

Câu trả lời:


7

Đúng!

  1. Biết và cho người khác biết rằng tất cả thông tin có thể đã được tiết lộ chỉ được mã hóa bởi HTTPS cho nhiều máy chủ web trên toàn thế giới.
  2. Bạn nên liên hệ với các nhà cung cấp dịch vụ của mình và xác nhận rằng họ có kế hoạch hoặc đã thực hiện các bước cần thiết để khắc phục lỗ hổng (giả sử họ dễ bị ảnh hưởng). Điều này đặc biệt bao gồm các ngân hàng, tổ chức tài chính và các dịch vụ khác lưu giữ thông tin nhạy cảm và có giá trị nhất của bạn. Cho đến khi họ xác nhận rằng họ đã áp dụng các chỉnh sửa, thông tin mà họ cung cấp cho bạn qua HTTPS vẫn dễ bị tổn thương .
  3. Các nhà cung cấp dịch vụ của bạn có thể vô hiệu hóa mật khẩu trước đó của bạn hoặc yêu cầu bạn thay đổi chúng, nhưng, nếu không, hãy thay đổi mật khẩu của bạn sau khi họ đã áp dụng các chỉnh sửa .

Bạn có thể tìm thấy thông tin cơ bản tại http://lovebleed.com/

Thêm thông tin kỹ thuật có sẵn từ:

Đối với những người không phải là người dùng cuối, hãy xem câu hỏi này trên serverfault:


Là người dùng cuối linux, tôi đã cài đặt OpenSSH 1.0.1e trong máy tính xách tay của mình (Debian Wheezy). Tôi vẫn không có gì phải lo lắng?

@StaceyAnne OpenSSH không bị ảnh hưởng, OpenSSL là. đó có phải là một lỗi đánh máy không?
strugee

vâng, đó là một lỗi đánh máy.

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityTôi giả sử bởi các nhà cung cấp dịch vụ, ý bạn là các trang web chứ không phải ISP phải không?
Synetech

@Synetech, goog điểm, nhưng từ ngữ là khó xử. Bạn không thể liên hệ với một "trang web". Tôi tự hỏi những gì tốt hơn có thể đến đó.
danorton

0

Là người dùng Linux, tôi đã cài đặt OpenSSL 1.0.1e trên bản cài đặt Debian 7.0 (khò khè).

Để khắc phục, tôi đã làm điều này:

apt-get update
apt-get upgrade openssl

Điều này cài đặt lại OpenSSL và thay thế nó bằng 1.0.1e-2, OpenSSL cố định cho Debian Wheezy.

Vấn đề chính thực sự nằm ở phía máy chủ, nhưng đó là một ý tưởng tốt để nâng cấp OpenSSL của khách hàng của bạn nếu nó được cài đặt, chỉ để chắc chắn. Xem Tư vấn bảo mật Debian, DSA-2896-1 openssl - cập nhật bảo mật để biết thêm thông tin.


0

Bạn cũng nên nâng cấp máy khách TLS / SSL sử dụng OpenSSL ngay khi có phiên bản cố định. Đặc biệt là các máy khách FTPS (FTP trên TLS / SSL).

May mắn là việc khai thác lỗ hổng trong máy khách ít có khả năng xảy ra hơn so với máy chủ.

Xem thêm:


Và mọi người chùn bước khi tôi nói tôi vẫn sử dụng Outlook Express 6. Bây giờ ai đang cười? :-P
Synetech
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.