Widzę w wiadomościach o błędzie bezpieczeństwa „Heartbleed”. Czy jako użytkownik końcowy muszę coś z tym zrobić?
Widzę w wiadomościach o błędzie bezpieczeństwa „Heartbleed”. Czy jako użytkownik końcowy muszę coś z tym zrobić?
Odpowiedzi:
Tak!
Podstawowe informacje można znaleźć na stronie http://heartbleed.com/
Więcej informacji technicznych jest dostępnych na stronie:
Dla tych, którzy nie są użytkownikami końcowymi, zobacz to pytanie na temat błędu serwera:
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerability
Zakładam, że przez usługodawców masz na myśli strony internetowe, a nie dostawców usług internetowych, prawda?
Jako użytkownik Linuksa miałem OpenSSL 1.0.1e zainstalowany na mojej instalacji Debian 7.0 (wheezy).
Aby to naprawić, zrobiłem to:
apt-get update
apt-get upgrade openssl
To ponownie instaluje OpenSSL i zastępuje go 1.0.1e-2, stałym OpenSSL dla Debian Wheezy.
Główny problem jest po stronie serwera, ale dla pewności dobrym pomysłem jest uaktualnienie OpenSSL klienta, jeśli jest zainstalowany. Zobacz Debian Security Advisory, DSA-2896-1 openssl - aktualizacja bezpieczeństwa w celu uzyskania dalszych informacji.
Powinieneś także zaktualizować swoich klientów TLS / SSL, którzy korzystają z OpenSSL, gdy tylko dostępna będzie wersja stała. W szczególności klienci FTPS (FTP przez TLS / SSL).
Na szczęście wykorzystanie luki w klientach jest mniej prawdopodobne niż na serwerach.
Zobacz też:
:-P