エンドユーザーはHeartbleedのセキュリティバグについて何かする必要がありますか？何？

「Heartbleed」セキュリティバグについてのニュースを見ます。エンドユーザーとして、何かする必要がありますか？

はい！

1. 世界中の多くのWebサーバーでHTTPSによってのみ暗号化されたすべての情報が明らかにされた可能性があることを他のユーザーに知らせ、知らせてください。
2. サービスプロバイダーに連絡して、脆弱性を修正するための計画があるか、すでに必要な手順を実行していることを確認する必要があります（脆弱性の影響を受けやすいと想定）。これには特に、最も価値のある機密情報を保持する銀行、金融機関、その他のサービスが含まれます。彼らが修正を適用したことを確認するまで、HTTPSを介して利用者が提供する情報は脆弱です。
3. サービスプロバイダーは、以前のパスワードを無効にするか、変更するように要求する場合がありますが、変更しない場合は、修正を適用した後でパスワードを変更します。

あなたはhttp://heartbleed.com/で基本的な情報を見つけることができます

詳細な技術情報は以下から入手できます。

• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

エンドユーザーではないユーザーについては、serverfaultで次の質問を参照してください。

• ハートブリード：それは何ですか、それを軽減するためのオプションは何ですか？

Linuxユーザーとして、Debian 7.0（wheezy）インストールにOpenSSL 1.0.1eをインストールしました。

それを修正するために、私はこれをしました：

apt-get update
apt-get upgrade openssl

これにより、OpenSSLが再インストールされ、Debian Wheezy用の固定OpenSSLである1.0.1e-2に置き換えられます。

主な問題は実際にはサーバー側にありますが、念のため、クライアントのOpenSSLがインストールされている場合はアップグレードすることをお勧めします。詳細については、Debian Security Advisory、DSA-2896-1 openssl-セキュリティアップデートを参照してください。

修正バージョンが利用可能になり次第、OpenSSLを使用するTLS / SSLクライアントもアップグレードする必要があります。特にFTPS（FTP over TLS / SSL）クライアント。

幸い、クライアントでの脆弱性の悪用は、サーバーでの可能性よりも低いです。

以下も参照してください。

• WinSCPやFileZillaなどのWindows TLS / SSLファイル転送ソフトウェアのどのバージョンがHeartbleedの影響を受けませんか？
• ハートブリードの脆弱性はクライアントに深刻な影響を及ぼしますか？