Müssen Endbenutzer etwas gegen den Heartbleed-Sicherheitsfehler unternehmen? Was?

10

Ich sehe in den Nachrichten über den Sicherheitsfehler "Heartbleed". Muss ich als Endbenutzer etwas dagegen tun?

security passwords openssl heartbleed Danorton
quelle
1
Es zeigt einen Mangel an Forschung, das Problem ist mit OpenSSL, das eindeutig serverseitig ist.
Ramhound
4
@ Ramhound Könnten Sie eine Referenz dafür angeben? Clientanwendungen können eine Verknüpfung zur OpenSSL-Bibliothek herstellen, um SSL / TLS-bezogene Funktionen bereitzustellen (siehe z . B. diese ). Außerdem von heartbleed.com (fett hervorgehobenes Highlight): " Wenn es ausgenutzt wird, geht Speicherinhalt vom Server zum Client und vom Client zum Server verloren. "
Daniel Beck
@ DanielBeck, Ramhound hat die Frage abgelehnt. Jeder kann eine Nein-Antwort hinzufügen. (Ich habe noch nicht einmal eine Antwort ausgewählt.)
Danorton
Während das Leck an beiden Enden auftreten kann, wird ein böswilliger Hacker die Client-Seite nicht angreifen. Ich stehe jedoch zu meiner Aussage über den Mangel an Forschung. Außerdem war Apache das Ziel von dem, was ich gelesen habe
Ramhound
1
@ Ramhound du hast falsch gelesen. Alles , was mit OpenSSL verknüpft ist, ist das Ziel. Dazu gehört auch Apache. aber es ist keineswegs auf Apache beschränkt. und außerdem verstehe ich immer noch nicht, wie Sie denken, dass dies nicht richtig erforscht ist. Außerdem sind Sie gerade einem der kleinen Dummköpfe der 6 dümmsten Ideen in der Computersicherheit zum Opfer gefallen - "Wir sind kein Ziel" ist kein Argument.
strugee

Antworten:

7

Ja!

  1. Wissen Sie und lassen Sie andere wissen, dass möglicherweise alle Informationen enthüllt wurden , die nur von HTTPS für viele Webserver auf der ganzen Welt verschlüsselt wurden.
  2. Sie sollten sich an Ihre Dienstanbieter wenden und bestätigen, dass diese Pläne haben oder bereits die erforderlichen Schritte zur Behebung der Sicherheitsanfälligkeit unternommen haben (vorausgesetzt, sie waren dafür anfällig). Dies umfasst insbesondere Banken, Finanzinstitute und andere Dienstleistungen, die Ihre wertvollsten und sensibelsten Informationen enthalten. Bis sie bestätigt haben, dass sie die Korrekturen angewendet haben, bleiben die Informationen, die sie Ihnen über HTTPS zur Verfügung stellen, anfällig .
  3. Ihre Dienstanbieter deaktivieren möglicherweise Ihre vorherigen Kennwörter oder fordern Sie auf andere Weise auf, diese zu ändern. Wenn dies nicht der Fall ist , ändern Sie Ihre Kennwörter, nachdem sie die Korrekturen vorgenommen haben .

Grundlegende Informationen finden Sie unter http://heartbleed.com/

Weitere technische Informationen finden Sie unter:

Für diejenigen, die keine Endbenutzer sind, lesen Sie diese Frage unter Serverfehler:

Danorton
quelle
Als Linux-Endbenutzer habe ich OpenSSH 1.0.1e auf meinem Laptop (Debian Wheezy) installiert. Muss ich mir noch keine Sorgen machen?
@StaceyAnne OpenSSH ist nicht betroffen, OpenSSL ist. War das ein Tippfehler?
strugee
Ja, es war ein Tippfehler.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityIch nehme an , mit Dienstanbietern meinen Sie die Websites und nicht ISPs, oder?
Synetech
@ Synetech, goog point, aber der Wortlaut ist umständlich. Sie können keine "Website" kontaktieren. Ich frage mich, welcher bessere Begriff dort hingehen könnte.
Danorton
0

Als Linux-Benutzer hatte ich OpenSSL 1.0.1e auf meiner Debian 7.0- Installation (wheezy) installiert.

Um das Problem zu beheben, habe ich Folgendes getan:

apt-get update
apt-get upgrade openssl

Dadurch wird OpenSSL neu installiert und durch 1.0.1e-2 ersetzt, das feste OpenSSL für Debian Wheezy.

Das Hauptproblem liegt wirklich auf der Serverseite, aber es ist eine gute Idee, Ihr Client-OpenSSL zu aktualisieren, wenn es installiert ist, nur um sicherzugehen. Weitere Informationen finden Sie unter Debian Security Advisory, DSA-2896-1 openssl - Sicherheitsupdate .

Peter Mortensen
quelle
0

Sie sollten auch Ihre TLS / SSL-Clients, die OpenSSL verwenden, aktualisieren, sobald eine feste Version verfügbar ist. Insbesondere FTPS-Clients (FTP über TLS / SSL).

Glücklicherweise ist ein Exploit der Sicherheitsanfälligkeit in Clients weniger wahrscheinlich als in Servern.

Siehe auch:

Martin Prikryl
quelle
Und die Leute haben sich geweigert, als ich sagte, ich benutze immer noch Outlook Express 6. Wer lacht jetzt? :-P
Synetech