Apakah pengguna akhir perlu melakukan sesuatu tentang bug keamanan Heartbleed? Apa?

10

Saya melihat di berita tentang bug keamanan "Heartbleed". Sebagai pengguna akhir, apakah saya perlu melakukan sesuatu tentang hal itu?

security passwords openssl heartbleed danorton
sumber
1
Ini menunjukkan kurangnya penelitian masalah dengan OpenSSL yang sisi server jelas.
Ramhound
4
@Ramhound Bisakah Anda memberikan referensi untuk itu? Aplikasi klien dapat menautkan ke pustaka OpenSSL untuk menyediakan fungsionalitas terkait SSL / TLS (lihat misalnya ini ). Juga, dari heartbleed.com (bold highlight mine): " Ketika dieksploitasi itu mengarah pada kebocoran isi memori dari server ke klien dan dari klien ke server. "
Daniel Beck
@DanielBeck, Ramhound menurunkan pertanyaan itu. Siapa pun dapat menambahkan jawaban "tidak". (Saya bahkan belum memilih jawaban.)
danorton
Sementara kebocoran dapat terjadi pada kedua ujungnya, peretas jahat tidak akan menyerang sisi klien. Saya mendukung pernyataan saya tentang kurangnya penelitian. Selanjutnya Apache adalah target dari apa yang saya baca
Ramhound
1
@Ramhound Anda salah baca. apa pun yang tertaut dengan OpenSSL adalah targetnya. sekarang, itu termasuk Apache. tetapi tidak berarti terbatas pada Apache. dan selain itu, saya masih tidak mengerti bagaimana menurut Anda ini tidak diteliti dengan benar. selain itu, Anda baru saja menjadi mangsa salah satu dumbs kecil dari 6 Ide terbodoh di Keamanan Komputer - "kita tidak target" bukan argumen.
strugee

Jawaban:

7

Iya!

  1. Ketahui dan biarkan orang lain tahu bahwa semua informasi mungkin telah terungkap yang hanya dienkripsi oleh HTTPS untuk banyak server web di seluruh dunia.
  2. Anda harus menghubungi penyedia layanan Anda dan mengonfirmasi bahwa mereka memiliki rencana atau telah mengambil langkah-langkah yang diperlukan untuk memperbaiki kerentanan (anggap mereka rentan terhadapnya). Ini terutama termasuk bank, lembaga keuangan dan layanan lain yang menyimpan informasi Anda yang paling berharga dan sensitif. Sampai mereka telah mengkonfirmasi bahwa mereka telah menerapkan koreksi, informasi bahwa mereka membuat tersedia untuk Anda melalui HTTPS tetap rentan .
  3. Penyedia layanan Anda mungkin menonaktifkan kata sandi Anda sebelumnya atau meminta Anda untuk mengubahnya, tetapi, jika tidak, ubah kata sandi Anda setelah menerapkan koreksi .

Anda dapat menemukan informasi dasar di http://heartbleed.com/

Lebih banyak informasi teknis tersedia dari:

Bagi mereka yang bukan pengguna akhir, lihat pertanyaan ini di serverfault:

danorton
sumber
Sebagai pengguna akhir linux, saya telah menginstal OpenSSH 1.0.1e di laptop saya (Debian Wheezy). Apakah saya masih tidak perlu khawatir?
@StaceyAnne OpenSSH tidak terpengaruh, OpenSSL. apakah itu salah cetak?
strugee
ya, itu salah ketik.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilitySaya berasumsi oleh penyedia layanan yang Anda maksud adalah situs web dan bukan ISP, kan?
Synetech
@ Sinetech, titik goog, tapi kata-katanya canggung. Anda tidak dapat menghubungi "situs web". Saya ingin tahu istilah apa yang lebih baik untuk pergi ke sana.
danorton
0

Sebagai pengguna Linux, saya telah menginstal OpenSSL 1.0.1e pada instalan Debian 7.0 (wheezy) saya.

Untuk memperbaikinya, saya melakukan ini:

apt-get update
apt-get upgrade openssl

Ini menginstal ulang OpenSSL dan menggantinya dengan 1.0.1e-2, OpenSSL yang diperbaiki untuk Debian Wheezy.

Masalah utama sebenarnya ada di sisi server, tetapi merupakan ide bagus untuk memutakhirkan OpenSSL klien Anda jika sudah diinstal, hanya untuk memastikan. Lihat Debian Security Advisory, DSA-2896-1 openssl - pembaruan keamanan untuk informasi lebih lanjut.

Peter Mortensen
sumber
0

Anda juga harus memperbarui klien TLS / SSL Anda yang menggunakan OpenSSL segera setelah versi tetap tersedia. Khususnya klien FTPS (FTP over TLS / SSL).

Untungnya, eksploitasi kerentanan pada klien lebih kecil kemungkinannya daripada di server.

Lihat juga:

Martin Prikryl
sumber
Dan orang-orang menolak keras ketika saya mengatakan saya masih menggunakan Outlook Express 6. Siapa yang tertawa sekarang? :-P
Synetech