ผู้ใช้ปลายทางต้องทำอะไรเกี่ยวกับบั๊กความปลอดภัย Heartbleed หรือไม่? อะไร?


10

ฉันเห็นในข่าวเกี่ยวกับจุดบกพร่องด้านความปลอดภัย“ Heartbleed” ในฐานะผู้ใช้ปลายทางฉันต้องทำอะไรเกี่ยวกับเรื่องนี้หรือไม่?


1
มันแสดงให้เห็นถึงการขาดการวิจัยปัญหาที่เกิดขึ้นกับ OpenSSL ซึ่งเป็นฝั่งเซิร์ฟเวอร์อย่างชัดเจน
Ramhound

4
@ แรมฮาวด์คุณช่วยให้การอ้างอิงสำหรับที่? แอปพลิเคชันไคลเอนต์สามารถเชื่อมโยงไปยังไลบรารี OpenSSL เพื่อมอบฟังก์ชันการทำงานที่เกี่ยวข้องกับ SSL / TLS (ดูเช่นนี้ ) นอกจากนี้จาก heartbleed.com (เหมืองไฮไลต์ตัวหนา): " เมื่อถูกโจมตีจะนำไปสู่การรั่วไหลของเนื้อหาหน่วยความจำจากเซิร์ฟเวอร์ไปยังไคลเอนต์และจากไคลเอนต์ไปยังเซิร์ฟเวอร์ "
Daniel Beck

@DanielBeck, Ramhound downvote คำถาม ทุกคนสามารถเพิ่มคำตอบ "ไม่" (ผมยังไม่ได้เลือกแม้คำตอบยัง.)
danorton

ในขณะที่การรั่วไหลสามารถเกิดขึ้นได้ในทั้งสองด้านแฮกเกอร์ประสงค์ร้ายจะไม่โจมตีฝั่งไคลเอ็นต์ ฉันยืนตามแถลงการณ์ของฉันเกี่ยวกับการขาดงานวิจัย นอกจากนี้ Apache ยังเป็นเป้าหมายจากสิ่งที่ฉันอ่าน
Ramhound

1
@ รบกวนคุณอ่านผิด สิ่งที่เชื่อมโยงกับ OpenSSL คือเป้าหมาย ตอนนี้รวมถึง Apache แต่ไม่ได้ จำกัด เฉพาะ Apache เท่านั้น และนอกจากนี้ฉันยังไม่เข้าใจว่าคุณคิดว่านี่ไม่ได้วิจัยอย่างเหมาะสม นอกจากนี้คุณเพิ่งตกเป็นเหยื่อของหนึ่งในผู้น้อยโง่จาก6 Dumbest ไอเดียในการรักษาความปลอดภัยคอมพิวเตอร์ - "เราไม่ใช่เป้าหมาย" ไม่ใช่ข้อโต้แย้ง
strugee

คำตอบ:


7

ใช่

  1. รู้และให้ผู้อื่นทราบว่าข้อมูลทั้งหมดอาจถูกเปิดเผยซึ่งเข้ารหัสโดย HTTPS สำหรับเว็บเซิร์ฟเวอร์หลายแห่งทั่วโลกเท่านั้น
  2. คุณควรติดต่อผู้ให้บริการของคุณและยืนยันว่าพวกเขามีแผนหรือได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อแก้ไขช่องโหว่ (สันนิษฐานว่าพวกเขาอ่อนแอต่อมัน) โดยเฉพาะอย่างยิ่งนี้รวมถึงธนาคารสถาบันการเงินและบริการอื่น ๆ ที่เก็บข้อมูลที่มีค่าและละเอียดอ่อนที่สุดของคุณ จนกว่าพวกเขาจะได้รับการยืนยันว่าพวกเขาได้นำมาใช้แก้ไขให้ข้อมูลที่พวกเขาทำให้คุณสามารถใช้ได้ผ่าน HTTPS ยังคงเปราะบาง
  3. ผู้ให้บริการของคุณอาจปิดการใช้งานรหัสผ่านก่อนหน้าของคุณหรือต้องการให้คุณเปลี่ยนรหัสผ่าน แต่หากไม่เป็นเช่นนั้นให้เปลี่ยนรหัสผ่านหลังจากที่ใช้การแก้ไขแล้ว

คุณสามารถค้นหาข้อมูลพื้นฐานได้ที่http://heartbleed.com/

ข้อมูลทางเทคนิคเพิ่มเติมได้จาก:

สำหรับผู้ที่ไม่ได้เป็นผู้ใช้ให้ดูคำถามนี้ในความผิดพลาดของเซิร์ฟเวอร์:


ในฐานะผู้ใช้งาน linux ฉันได้ติดตั้ง OpenSSH 1.0.1e ไว้ในแล็ปท็อปของฉัน (Debian Wheezy) ฉันยังไม่มีอะไรต้องกังวลหรือไม่?

@StaceyAnne OpenSSH ไม่ได้รับผลกระทบ OpenSSL คือ นั่นคือการพิมพ์ผิด?
strugee

ใช่มันเป็นตัวพิมพ์ผิด

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityฉันถือว่าผู้ให้บริการคุณหมายถึงเว็บไซต์ไม่ใช่ ISP ใช่มั้ย
Synetech

@Synetech จุด goog แต่ถ้อยคำนั้นอึดอัดใจ คุณไม่สามารถติดต่อ "เว็บไซต์" ฉันสงสัยว่าอาจมีคำใดที่ดีไปกว่านี้
danorton

0

ในฐานะผู้ใช้ Linux ฉันได้ติดตั้ง OpenSSL 1.0.1e ไว้ในการติดตั้งDebian 7.0 (wheezy) ของฉัน

เพื่อแก้ไขฉันทำสิ่งนี้:

apt-get update
apt-get upgrade openssl

นี่ติดตั้ง OpenSSL ใหม่และแทนที่ด้วย 1.0.1e-2 ซึ่งเป็น OpenSSL คงที่สำหรับ Debian Wheezy

ปัญหาสำคัญอยู่ที่ฝั่งเซิร์ฟเวอร์จริง ๆ แต่เป็นความคิดที่ดีที่จะอัพเกรดไคลเอนต์ OpenSSL ของคุณหากติดตั้งไว้เพื่อให้แน่ใจ ดูคำแนะนำด้านความปลอดภัย Debian, DSA-2896-1 openssl - อัปเดตความปลอดภัยสำหรับข้อมูลเพิ่มเติม


0

คุณควรอัปเกรดไคลเอ็นต์ TLS / SSL ที่ใช้ OpenSSL ทันทีที่มีรุ่นที่แก้ไข โดยเฉพาะลูกค้า FTPS (FTP ผ่าน TLS / SSL)

โชคดีที่การโจมตีช่องโหว่ในไคลเอนต์นั้นมีโอกาสน้อยกว่าในเซิร์ฟเวอร์

ดูสิ่งนี้ด้วย:


และผู้คนก็หยุดชะงักเมื่อฉันบอกว่าฉันยังใช้ Outlook Express 6 ใครที่หัวเราะในตอนนี้ :-P
Synetech
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.