Son kullanıcıların Heartbleed güvenlik hatası hakkında bir şey yapması gerekiyor mu? Ne?


10

“Heartbleed” güvenlik hatası hakkındaki haberlerde görüyorum. Son kullanıcı olarak bununla ilgili bir şey yapmam gerekir mi?


1
Sorunun sunucu tarafı olan OpenSSL ile ilgili araştırma eksikliğini gösteriyor.
Ramhound

4
@Ramhound Bunun için bir referans verebilir misiniz? İstemci uygulamaları SSL / TLS ile ilgili işlevsellik sağlamak için OpenSSL kütüphanesine bağlanabilir (bkz . Buna ). Ayrıca, gelen heartbleed.com (kalın vurgulamak madeni): " o sunucudan istemciye ve bellek içeriğinin sızıntısına neden istismar edilir istemciden sunucuya. "
Daniel Beck

@DanielBeck, Ramhound soruyu reddetti. Herkes “hayır” yanıtı ekleyebilir. (Henüz bir cevap
seçmedim

Her iki uçta sızıntı olsa da, kötü niyetli bir bilgisayar korsanı istemci tarafına saldırmayacaktır. Yine de araştırma eksikliği hakkındaki açıklamamın yanındayım. Ayrıca Apache okuduğum
hedefti

1
@Yanlış okudun. OpenSSL ile bağlantı kuran her şey hedeftir. şimdi, bu Apache'yi içeriyor. ancak hiçbir şekilde Apache ile sınırlı değildir. ayrıca bunun nasıl düzgün araştırılmadığını düşündüğünüzü hala anlamıyorum. ayrıca, Bilgisayar Güvenliğindeki 6 En Sade Fikrin küçük baş parmaklarından birinin avına düştünüz - "biz bir hedef değiliz" bir argüman değil.
Strugee

Yanıtlar:


7

Evet!

  1. Tüm dünyadaki birçok web sunucusu için yalnızca HTTPS tarafından şifrelenen tüm bilgilerin açığa çıkmış olabileceğini bilin ve başkalarına bildirin .
  2. Servis sağlayıcılarınızla iletişim kurmalı ve güvenlik açığını düzeltmek için planlarına sahip olduklarını veya zaten gerekli adımları attıklarını onaylamanız gerekir (buna duyarlı olduklarını varsayarak). Bu özellikle bankaları, finansal kurumları ve en değerli ve hassas bilgilerinizi tutan diğer hizmetleri içerir. Düzeltmeleri uyguladıklarını onaylayana kadar, HTTPS aracılığıyla size sundukları bilgiler savunmasız kalır .
  3. Servis sağlayıcılarınız önceki şifrelerinizi devre dışı bırakabilir veya başka bir şekilde değiştirmenizi isteyebilir, ancak değiştirmezlerse düzeltmeleri uyguladıktan sonra şifrelerinizi değiştirebilir .

Temel bilgileri http://heartbleed.com/ adresinde bulabilirsiniz.

Daha fazla teknik bilgiye şu adresten ulaşılabilir:

Son kullanıcı olmayanlar için serverfault ile ilgili şu soruya bakın:


Linux son kullanıcısı olarak dizüstü bilgisayarımda OpenSSH 1.0.1e yüklü (Debian Wheezy). Hala endişelenecek bir şeyim yok mu?

@StaceyAnne OpenSSH etkilenmez, OpenSSL etkilenir. bu bir yazım hatası mıydı?
Strugee

evet, bu bir yazım hatasıydı.

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityServis sağlayıcılar tarafından ISS'leri değil, web sitelerini kastettiğinizi düşünüyorum.
Synetech

@Synetech, goog point, ama ifadeler garip. Bir "web sitesi" ile iletişim kuramazsınız. Daha iyi terimin oraya gidebileceğini merak ediyorum.
danorton

0

Bir Linux kullanıcısı olarak, Debian 7.0 (wheezy) kurulumuma OpenSSL 1.0.1e yükledim .

Düzeltmek için şunu yaptım:

apt-get update
apt-get upgrade openssl

Bu, OpenSSL'yi yeniden yükler ve Debian Wheezy için sabit OpenSSL olan 1.0.1e-2 ile değiştirir.

Asıl sorun gerçekten sunucu tarafında, ancak kurulduysa istemcinizi OpenSSL'yi yükseltmek iyi bir fikirdir. Daha fazla bilgi için bkz. Debian Güvenlik Danışma Belgesi, DSA-2896-1 openssl - güvenlik güncelleştirmesi .


0

Sabit sürüm kullanılabilir olur olmaz OpenSSL kullanan TLS / SSL istemcilerinizi de yükseltmelisiniz. Özellikle FTPS (TLS / SSL üzerinden FTP) istemcileri.

Neyse ki, istemcilerdeki güvenlik açığından yararlanma sunuculardan daha az olasıdır.

Ayrıca bakınız:


Ve hala Outlook Express 6'yı kullandığımı söylediğimde insanlar alkışladı. Şimdi kim gülüyor? :-P
Synetech
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.