エンドユーザーはHeartbleedのセキュリティバグについて何かする必要がありますか?何?


10

「Heartbleed」セキュリティバグについてのニュースを見ます。エンドユーザーとして、何かする必要がありますか?


1
サーバー側のOpenSSLに問題があることは、調査が不十分であることを示しています。
ラムハウンド2014

4
@Ramhoundそのための参照を提供できますか?クライアントアプリケーションはOpenSSLライブラリにリンクして、SSL / TLS関連の機能を提供できます(例:thisを参照)。また、heartbleed.com(太字のハイライト鉱山)から:「悪用されると、サーバーからクライアントへ、およびクライアントからサーバーへのメモリコンテンツのリークが発生します。
Daniel Beck

@DanielBeck、ラムハウンドが質問に反対票を投じた。誰でも「いいえ」の回答を追加できます。(私はまだ答えさえも選択していません。)
danorton 2014

リークは両端で発生する可能性がありますが、悪意のあるハッカーがクライアント側を攻撃することはありません。私は研究の不足についての私の声明を支持します。さらに、Apacheは私が読んだもののターゲットでした
Ramhound

1
@Ramhound間違って読んだ。OpenSSLにリンクするものはすべてターゲットです。現在、これにはApacheが含まれています。ただし、これはApacheに限定されるものではありません。しかも、私はまだあなたがこれを適切に調査されていませんどのように考えるか理解していません。その上、あなたはコンピューターセキュリティの6つの愚かなアイデアのマイナーな愚かさの1つに食い込んだばかりです-「私たちはターゲットではない」は議論ではありません。
14

回答:


7

はい!

  1. 世界中の多くのWebサーバーでHTTPSによってのみ暗号化されたすべての情報が明らかにされた可能性があることを他のユーザーに知らせ、知らせてください
  2. サービスプロバイダーに連絡して、脆弱性を修正するための計画があるか、すでに必要な手順を実行していることを確認する必要があります(脆弱性の影響を受けやすいと想定)。これには特に、最も価値のある機密情報を保持する銀行、金融機関、その他のサービスが含まれます。彼らが修正を適用したことを確認するまで、HTTPSを介して利用者が提供する情報は脆弱です
  3. サービスプロバイダーは、以前のパスワードを無効にするか、変更するように要求する場合がありますが、変更しない場合は、修正を適用した後でパスワードを変更します

あなたはhttp://heartbleed.com/で基本的な情報を見つけることができます

詳細な技術情報は以下から入手できます。

エンドユーザーではないユーザーについては、serverfaultで次の質問を参照してください。


Linuxエンドユーザーとして、ラップトップ(Debian Wheezy)にOpenSSH 1.0.1eをインストールしています。まだ心配する必要はありませんか?

@StaceyAnne OpenSSHは影響を受けません。OpenSSLは影響を受けます。それはタイプミスでしたか?
闘争者14

うん、それはタイプミスだった。

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerability私はで仮定し、サービスプロバイダあなたが右のISPのWebサイトを意味していませんか?
Synetech 2014

@Synetech、グーグポイントですが、言い回しは扱いにくいです。「ウェブサイト」に連絡することはできません。どんな用語がそこに行くのだろうかと思います。
danorton 2014

0

Linuxユーザーとして、Debian 7.0(wheezy)インストールにOpenSSL 1.0.1eをインストールしました。

それを修正するために、私はこれをしました:

apt-get update
apt-get upgrade openssl

これにより、OpenSSLが再インストールされ、Debian Wheezy用の固定OpenSSLである1.0.1e-2に置き換えられます。

主な問題は実際にはサーバー側にありますが、念のため、クライアントのOpenSSLがインストールされている場合はアップグレードすることをお勧めします。詳細については、Debian Security Advisory、DSA-2896-1 openssl-セキュリティアップデートを参照してください。


0

修正バージョンが利用可能になり次第、OpenSSLを使用するTLS / SSLクライアントもアップグレードする必要があります。特にFTPS(FTP over TLS / SSL)クライアント。

幸い、クライアントでの脆弱性の悪用は、サーバーでの可能性よりも低いです。

以下も参照してください。


そして、私はまだOutlook Express 6を使用していると言ったとき、人々は頭を痛めました。今、誰が笑っていますか?:-P
Synetech 2014
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.