¿Los usuarios finales deben hacer algo con respecto al error de seguridad de Heartbleed? ¿Qué?

10

Veo en las noticias sobre el error de seguridad "Heartbleed". Como usuario final, ¿debo hacer algo al respecto?

security passwords openssl heartbleed Danorton
fuente
1
Muestra una falta de investigación, el problema es con OpenSSL, que es claramente del lado del servidor.
Ramhound
44
@Ramhound ¿Podría proporcionar una referencia para eso? Las aplicaciones del cliente pueden vincularse a la biblioteca OpenSSL para proporcionar funcionalidad relacionada con SSL / TLS (ver, por ejemplo, esto ). Además, desde heartbleed.com (negrita resaltar la mía): " Cuando se explota conduce a la pérdida de contenido de memoria del servidor al cliente y del cliente al servidor " .
Daniel Beck
@DanielBeck, Ramhound rechazó la pregunta. Cualquiera puede agregar una respuesta "no". (Ni siquiera he seleccionado una respuesta, todavía.)
danorton
Si bien la fuga puede ocurrir en ambos extremos, un hacker malicioso no atacará al lado del cliente. Sin embargo, mantengo mi declaración sobre la falta de investigación. Además, Apache fue el objetivo de lo que leí
Ramhound
1
@Ramhound, leíste mal. todo lo que se vincule con OpenSSL es el objetivo. ahora, eso incluye Apache. pero de ninguna manera se limita a Apache. Además, todavía no entiendo cómo crees que esto no se ha investigado adecuadamente. Además, acaba de caer presa de uno de los tontos menores de las 6 ideas más tontas en seguridad informática : "no somos un objetivo" no es un argumento.
strugee

Respuestas:

7

¡Si!

  1. Sepa y haga saber a los demás que toda la información podría haber sido revelada y que fue encriptada solo por HTTPS para muchos servidores web de todo el mundo.
  2. Debe comunicarse con sus proveedores de servicios y confirmar que tienen planes o que ya han tomado las medidas necesarias para corregir la vulnerabilidad (suponiendo que fueran susceptibles a ella). Esto incluye especialmente bancos, instituciones financieras y otros servicios que contienen su información más valiosa y sensible. Hasta que hayan confirmado que han aplicado las correcciones, la información que ponen a su disposición a través de HTTPS sigue siendo vulnerable .
  3. Sus proveedores de servicios pueden deshabilitar sus contraseñas anteriores o exigirle que las cambie, pero, si no lo hacen, cambie sus contraseñas después de que hayan aplicado las correcciones .

Puede encontrar información básica en http://heartbleed.com/

Más información técnica está disponible en:

Para aquellos que no son usuarios finales, vea esta pregunta en serverfault:

Danorton
fuente
Como usuario final de Linux, tengo OpenSSH 1.0.1e instalado en mi computadora portátil (Debian Wheezy). ¿Todavía no tengo nada de qué preocuparme?
@StaceyAnne OpenSSH no se ve afectado, OpenSSL sí. ¿fue eso un error tipográfico?
strugee
Sí, fue un error tipográfico.
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilitySupongo que por proveedores de servicios te refieres a los sitios web y no a los ISP ¿verdad?
Synetech
@Synetech, buen punto, pero la redacción es incómoda. No puede contactar un "sitio web". Me pregunto qué mejor término podría ir allí.
danorton
0

Como usuario de Linux, tenía OpenSSL 1.0.1e instalado en mi instalación de Debian 7.0 (wheezy).

Para solucionarlo, hice esto:

apt-get update
apt-get upgrade openssl

Esto reinstala OpenSSL y lo reemplaza con 1.0.1e-2, el OpenSSL fijo para Debian Wheezy.

El problema principal está realmente en el lado del servidor, pero es una buena idea actualizar su cliente OpenSSL si está instalado, solo para estar seguro. Consulte el Aviso de seguridad de Debian, DSA-2896-1 openssl - actualización de seguridad para obtener más información.

Peter Mortensen
fuente
0

También debe actualizar sus clientes TLS / SSL que usan OpenSSL tan pronto como esté disponible la versión fija. Particularmente clientes FTPS (FTP sobre TLS / SSL).

Afortunadamente, una vulnerabilidad de la vulnerabilidad en los clientes es menos probable que en los servidores.

Ver también:

Martin Prikryl
fuente
Y la gente se resistió cuando dije que todavía uso Outlook Express 6. ¿Quién se está riendo ahora? :-P
Synetech