Müssen Endbenutzer etwas gegen den Heartbleed-Sicherheitsfehler unternehmen? Was?

1787
danorton

Ich sehe in den Nachrichten den Sicherheitsfehler "Heartbleed". Muss ich als Endanwender etwas dagegen unternehmen?

10
Es zeigt sich ein Mangel an Recherchen, das Problem liegt bei OpenSSL, das serverseitig eindeutig ist. Ramhound vor 10 Jahren 1
@Ramhound Könnten Sie dafür eine Referenz geben? Client-Anwendungen können eine Verknüpfung zur OpenSSL-Bibliothek herstellen, um SSL / TLS-bezogene Funktionen bereitzustellen (siehe zB [this] (http://www.visualsvn.com/support/topic/00056/)). Auch von heartbleed.com (fett hervorgehoben mein): "* Wenn es ausgenutzt wird, führt dies zum Verlust von Speicherinhalten vom Server an den Client und ** vom Client an den Server." Daniel Beck vor 10 Jahren 4
@DanielBeck, Ramhound hat die Frage abgelehnt. Jeder kann ein Nein hinzufügen. (Ich habe noch nicht einmal eine Antwort ausgewählt.) danorton vor 10 Jahren 0
Während das Leck an beiden Enden auftreten kann, greift ein böswilliger Hacker nicht die Clientseite an. Ich stehe jedoch zu meiner Aussage über den Mangel an Forschung. Außerdem war Apache das Ziel von dem, was ich gelesen habe Ramhound vor 10 Jahren 0
Wie ich in meiner Selbstantwort erwähne, empfehlen wir Ihnen, wenn Sie sich für die Server-Schwachstellen interessieren (und für die Möglichkeit von clientseitigen Daten, die möglicherweise über diese Vektoren verfügbar gemacht wurden), diese Fragen und Antworten unter Serverfault zu überprüfen: http: / /serverfault.com/questions/587329/heartbleed-what-isit-and-was-eine-optionsoptionen-mit-mitzugeben danorton vor 10 Jahren 0
@Ramhound hast du falsch gelesen. _Alles_, das mit OpenSSL verknüpft ist, ist das Ziel. das schließt jetzt Apache ein. aber es ist keineswegs auf Apache beschränkt. und außerdem verstehe ich immer noch nicht, wie Sie denken, dass dies nicht richtig recherchiert wird. Außerdem sind Sie gerade einem der unbedeutendsten Dummköpfe der [6 dümmsten Ideen in der Computersicherheit] (http://www.ranum.com/security/computer_security/editorials/dumb/) zum Opfer gefallen - wir sind es nicht ein Ziel ist kein Argument. strugee vor 10 Jahren 1

3 Antworten auf die Frage

7
danorton

Ja!

  1. Wissen und informieren Sie andere, dass möglicherweise alle Informationen aufgedeckt wurden, die nur von HTTPS für viele Webserver weltweit verschlüsselt wurden.
  2. Sie sollten sich an Ihren Diensteanbieter wenden und bestätigen, dass er Pläne hat oder bereits die erforderlichen Maßnahmen zur Behebung der Sicherheitsanfälligkeit ergriffen hat (vorausgesetzt, sie waren anfällig dafür). Dazu gehören insbesondere Banken, Finanzinstitute und andere Dienste, die Ihre wertvollsten und sensibelsten Informationen enthalten. Bis sie bestätigt haben, dass sie die Korrekturen angewendet haben, bleiben die Informationen, die sie Ihnen über HTTPS zur Verfügung stellen, anfällig .
  3. Ihre Diensteanbieter können Ihre vorherigen Kennwörter möglicherweise deaktivieren oder anderweitig verlangen, dass Sie sie ändern. Falls dies nicht der Fall ist, ändern Sie Ihre Kennwörter, nachdem sie die Korrekturen vorgenommen haben .

Grundlegende Informationen finden Sie unter http://heartbleed.com/

Weitere technische Informationen erhalten Sie bei:

Für diejenigen, die keine Endbenutzer sind, finden Sie diese Frage unter Serverfault:

Als Linux-Endbenutzer habe ich OpenSSH 1.0.1e in meinem Laptop installiert (Debian Wheezy). Muss ich mir immer noch Sorgen machen? vor 10 Jahren 0
@StaceyAnne OpenSSH ist nicht betroffen, OpenSSL ist. War das ein Tippfehler? strugee vor 10 Jahren 0
ja, es war ein Tippfehler. vor 10 Jahren 0
"Sie sollten sich an Ihren Diensteanbieter wenden und bestätigen, dass er Pläne hat oder bereits die erforderlichen Maßnahmen zur Behebung der Sicherheitsanfälligkeit getroffen hat." Ich nehme an, von * Diensteanbietern *, dass Sie die Websites meinen und nicht die ISPs? Synetech vor 10 Jahren 0
@Synetech, goog point, aber der Wortlaut ist umständlich. Sie können keine "Website" kontaktieren. Ich frage mich, welchen besseren Begriff es dort geben könnte. danorton vor 10 Jahren 0
"Sie können keine" Website "kontaktieren." Ich verstehe nicht, was Sie meinen, die meisten Websites haben einen * Contact [us] * -Link am unteren Rand der Seite, insbesondere professionelle Unternehmen wie Banken und dergleichen. Synetech vor 10 Jahren 0
Viele tun, viele nicht, aber Sie kontaktieren eine Website nicht mehr als Sie ein Bürogebäude kontaktieren. Sie wenden sich an das Unternehmen. danorton vor 10 Jahren 0
0
Peter Mortensen

Als Linux-Benutzer hatte ich OpenSSL 1.0.1e auf meiner Debian 7.0- Installation (Wheezy) installiert.

Um das zu beheben, habe ich folgendes gemacht:

apt-get update apt-get upgrade openssl

Dadurch wird OpenSSL erneut installiert und durch 1.0.1e-2 ersetzt, die festgelegte OpenSSL für Debian Wheezy.

Das Hauptproblem ist wirklich auf der Serverseite, aber es ist eine gute Idee, Ihren Client OpenSSL zu aktualisieren, falls er installiert ist, nur um sicherzugehen. Weitere Informationen finden Sie unter Debian-Sicherheitsempfehlung, DSA-2896-1 openssl - Sicherheitsupdate .

0
Martin Prikryl

Sie sollten auch Ihre TLS / SSL-Clients aktualisieren, die OpenSSL verwenden, sobald eine feste Version verfügbar ist. Insbesondere FTPS-Clients (FTP über TLS / SSL).

Glücklicherweise ist ein Ausnutzen der Sicherheitsanfälligkeit in Clients weniger wahrscheinlich als in Servern.

Siehe auch:

Und die Leute weigerten sich, als ich sagte, dass ich immer noch Outlook Express 6 verwende. Wer lacht jetzt? `: -P` Synetech vor 10 Jahren 0

Verwandte Probleme