Les utilisateurs finaux doivent-ils faire quelque chose contre le bogue de sécurité Heartbleed? Quelle?

10

Je vois dans les nouvelles sur le bogue de sécurité "Heartbleed". En tant qu'utilisateur final, dois-je faire quelque chose?

security passwords openssl heartbleed danorton
la source
1
Cela montre un manque de recherche, le problème est avec OpenSSL qui est clairement côté serveur.
Ramhound
4
@Ramhound Pourriez-vous fournir une référence pour cela? Les applications clientes peuvent se lier à la bibliothèque OpenSSL pour fournir des fonctionnalités liées à SSL / TLS (voir par exemple ceci ). Aussi, de heartbleed.com (le mien en surbrillance audacieux): " Quand il est exploité, il entraîne la fuite du contenu de la mémoire du serveur vers le client et du client vers le serveur. "
Daniel Beck
@DanielBeck, Ramhound a voté contre la question. N'importe qui peut ajouter une réponse «non». (Je n'ai même pas encore sélectionné de réponse.)
danorton
Bien que la fuite puisse se produire aux deux extrémités, un pirate malveillant ne va pas attaquer le côté client. Je maintiens cependant ma déclaration sur le manque de recherche. De plus, Apache était la cible de ce que j'ai lu
Ramhound
1
@Ramhound vous avez mal lu. tout ce qui est lié à OpenSSL est la cible. maintenant, cela inclut Apache. mais il n'est nullement limité à Apache. et d'ailleurs, je ne comprends toujours pas comment vous pensez que ce n'est pas correctement recherché. en outre, vous venez de devenir la proie d'un des idiots mineurs des 6 idées les plus stupides en matière de sécurité informatique - "nous ne sommes pas une cible" n'est pas un argument.
strugee

Réponses:

7

Oui!

  1. Sachez et faites savoir aux autres que toutes les informations susceptibles d'avoir été cryptées par HTTPS pour de nombreux serveurs Web dans le monde ont pu être révélées .
  2. Vous devez contacter vos fournisseurs de services et confirmer qu'ils ont des plans ou ont déjà pris les mesures nécessaires pour corriger la vulnérabilité (en supposant qu'ils y étaient sensibles). Cela inclut en particulier les banques, les institutions financières et d'autres services qui détiennent vos informations les plus précieuses et sensibles. Jusqu'à ce qu'ils aient confirmé qu'ils ont appliqué les corrections, les informations qu'ils mettent à votre disposition via HTTPS restent vulnérables .
  3. Vos fournisseurs de services peuvent désactiver vos mots de passe précédents ou vous demander de les modifier, mais s'ils ne le font pas, modifiez vos mots de passe après avoir appliqué les corrections .

Vous pouvez trouver des informations de base sur http://heartbleed.com/

Plus d'informations techniques sont disponibles sur:

Pour ceux qui ne sont pas des utilisateurs finaux, consultez cette question sur serverfault:

danorton
la source
En tant qu'utilisateur final Linux, j'ai OpenSSH 1.0.1e installé sur mon ordinateur portable (Debian Wheezy). Dois-je encore rien à craindre?
@StaceyAnne OpenSSH n'est pas affecté, OpenSSL l'est. était-ce une faute de frappe?
strugee
oui, c'était une faute de frappe.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityJe suppose que par fournisseurs de services, vous entendez les sites Web et non les FAI, n'est-ce pas?
Synetech
@Synetech, goog point, mais la formulation est maladroite. Vous ne pouvez pas contacter un "site Web". Je me demande quel meilleur terme pourrait y aller.
danorton du
0

En tant qu'utilisateur Linux, j'avais OpenSSL 1.0.1e installé sur mon installation Debian 7.0 (wheezy).

Pour le réparer, j'ai fait ceci:

apt-get update
apt-get upgrade openssl

Cela réinstalle OpenSSL et le remplace par 1.0.1e-2, l'OpenSSL fixe pour Debian Wheezy.

Le problème majeur est vraiment du côté serveur, mais c'est une bonne idée de mettre à jour votre client OpenSSL s'il est installé, juste pour être sûr. Voir l' Avis de sécurité Debian, DSA-2896-1 openssl - mise à jour de sécurité pour plus d'informations.

Peter Mortensen
la source
0

Vous devez également mettre à niveau vos clients TLS / SSL qui utilisent OpenSSL dès que la version fixe est disponible. En particulier les clients FTPS (FTP sur TLS / SSL).

Heureusement, un exploit de la vulnérabilité dans les clients est moins probable que dans les serveurs.

Voir également:

Martin Prikryl
la source
Et les gens ont hésité quand j'ai dit que j'utilisais toujours Outlook Express 6. Qui rit maintenant? :-P
Synetech du