क्या अंत उपयोगकर्ताओं को हार्दिक सुरक्षा बग के बारे में कुछ करने की आवश्यकता है? क्या?


10

मैं समाचार में "हार्टब्लेड" सुरक्षा बग के बारे में देखता हूं। एक अंतिम उपयोगकर्ता के रूप में, क्या मुझे इसके बारे में कुछ भी करने की आवश्यकता है?


1
यह दिखाता है कि अनुसंधान की कमी ओपनएसएसएल के साथ है जो सर्वर साइड स्पष्ट है।
रामहुंड

4
@ रामदूत क्या आप इसके लिए कोई संदर्भ प्रदान कर सकते हैं? क्लाइंट अनुप्रयोग SSL / TLS संबंधित सुविधा प्रदान करने के OpenSSL पुस्तकालय के लिए लिंक कर सकते हैं (देखें उदाहरण के लिए इस )। इसके अलावा, से heartbleed.com (बोल्ड उजागर मेरा): " जब यह शोषण किया जाता है यह ग्राहक के लिए सर्वर से और स्मृति सामग्री के रिसाव की ओर जाता है क्लाइंट से सर्वर तक। "
डैनियल बेक

@ डैनियलबेक, रामहाउंड ने सवाल को खारिज कर दिया। कोई भी "उत्तर" नहीं जोड़ सकता है। (मैंने अभी तक एक उत्तर का चयन नहीं किया है।)
डानोर्टन

हालांकि रिसाव दोनों छोरों पर हो सकता है एक दुर्भावनापूर्ण हैकर क्लाइंट पक्ष पर हमला नहीं करेगा। मैं हालांकि अनुसंधान की कमी के बारे में अपने बयान के साथ खड़ा हूं। इसके अलावा अपाचे ने जो कुछ भी पढ़ा था उससे लक्ष्य था
रामहाउंड

1
@ रामदूत आप गलत पढ़ते हैं। OpenSSL के खिलाफ लिंक करने वाली कोई भी चीज लक्ष्य है। अब, जिसमें अपाचे शामिल हैं। लेकिन यह अपाचे तक सीमित नहीं है। और इसके अलावा, मुझे अभी भी समझ में नहीं आया कि आपको कैसे लगता है कि इस पर ठीक से शोध नहीं किया गया है। इसके अलावा, आप कंप्यूटर सिक्योरिटी में 6 डंबेस्ट आइडियाज़ के मामूली डंबल्स में से एक के शिकार हो गए हैं - "हम एक लक्ष्य नहीं हैं" एक तर्क नहीं है।
स्ट्रूजी

जवाबों:


7

हाँ!

  1. जानिए और दूसरों को बताएं कि ऐसी सभी जानकारी सामने आ सकती है जो केवल दुनिया भर के कई वेब सर्वरों के लिए HTTPS द्वारा एन्क्रिप्ट की गई थी।
  2. आपको अपने सेवा प्रदाताओं से संपर्क करना चाहिए और पुष्टि करनी चाहिए कि उनके पास योजना है या भेद्यता को सही करने के लिए आवश्यक कदम उठाए हैं (यह मानते हुए कि वे इसके लिए अतिसंवेदनशील थे)। इसमें विशेष रूप से बैंक, वित्तीय संस्थान और अन्य सेवाएं शामिल हैं जो आपकी सबसे मूल्यवान और संवेदनशील जानकारी रखती हैं। जब तक उन्होंने पुष्टि नहीं की कि उन्होंने सुधार लागू कर दिया है, तब तक वे जो जानकारी आपको HTTPS के माध्यम से उपलब्ध कराते हैं, वह असुरक्षित रहती है
  3. आपके सेवा प्रदाता आपके पिछले पासवर्डों को निष्क्रिय कर सकते हैं या अन्यथा आपको उन्हें बदलने की आवश्यकता होती है, लेकिन यदि उन्होंने सुधार लागू कर दिए हैं , तो वे आपके पासवर्ड नहीं बदलते हैं

आप बुनियादी जानकारी http://heartbleed.com/ पर प्राप्त कर सकते हैं

अधिक तकनीकी जानकारी उपलब्ध है:

जो लोग अंतिम उपयोगकर्ता नहीं हैं, उनके लिए सर्वरफ़ॉल्ट पर यह प्रश्न देखें:


एक Linux अंत उपयोगकर्ता के रूप में, मेरे पास OpenSSH 1.0.1e मेरे लैपटॉप (डेबियन व्हीज़ी) में स्थापित है। क्या मुझे अब भी चिंता करने की कोई बात नहीं है?

@StaceyAnne OpenSSH प्रभावित नहीं है, OpenSSL है। क्या वह टाइपो था?
स्ट्रूजी

हाँ, यह एक टाइपो था।

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityमैं सेवा प्रदाताओं द्वारा आपको लगता है कि आप वेबसाइटों का मतलब है और ISPs सही नहीं है?
सिनटेक

@ सिनटेक, गोग पॉइंट, लेकिन शब्दावलियां अजीब हैं। आप "वेबसाइट" से संपर्क नहीं कर सकते। मुझे आश्चर्य है कि वहाँ बेहतर शब्द क्या हो सकता है।
danorton

0

एक लिनक्स उपयोगकर्ता के रूप में, मैंने अपने डेबियन 7.0 ( wheezy) इंस्टॉल पर OpenSSL 1.0.1e स्थापित किया था ।

इसे ठीक करने के लिए, मैंने यह किया:

apt-get update
apt-get upgrade openssl

यह ओपनएसएसएल को फिर से स्थापित करता है और इसे डीवाई -2 के साथ नियत ओपनएसएसएल, डी -2 के साथ बदल देता है।

मुख्य मुद्दा वास्तव में सर्वर की तरफ है, लेकिन यह अपने क्लाइंट ओपनएसएसएल को अपग्रेड करने के लिए एक अच्छा विचार है यदि यह स्थापित है, तो बस सुनिश्चित करें। देखें डेबियन सुरक्षा परामर्श, DSA-2896-1 openssl - सुरक्षा अद्यतन अधिक जानकारी के लिए।


0

आपको अपने टीएलएस / एसएसएल क्लाइंट्स को भी अपग्रेड करना चाहिए जो ओपनएसएसएल का उपयोग करते हैं जैसे ही निश्चित संस्करण उपलब्ध होता है। विशेष रूप से FTPS (टीएलएस / एसएसएल पर एफ़टीपी) क्लाइंट।

सौभाग्य से ग्राहकों में भेद्यता का शोषण सर्वरों की तुलना में कम संभावित है।

यह सभी देखें:


और जब मैंने कहा कि मैं अभी भी आउटलुक एक्सप्रेस 6 का उपयोग करता हूं, तो लोग गंजा हो जाते हैं। अब कौन हंस रहा है? :-P
17
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.