エンドユーザーはHeartbleedのセキュリティバグについて何かする必要がありますか?何?
「Heartbleed」セキュリティバグに関するニュースを目にします。エンドユーザーとして、私はそれについて何かする必要がありますか?
はい!
- すべての情報が明らかにされた可能性があることを知って他の人に知らせてください多くの人にとってHTTPSによってのみ暗号化されていました世界中のWebサーバー。
- サービスプロバイダーに連絡して、脆弱性を修正するための計画があるか、すでに必要な手順を実行していることを確認する必要があります(脆弱性の影響を受けやすいと想定)。これには特に、銀行、金融機関、および最も価値のある機密情報を保持するその他のサービスが含まれます。彼らが修正を適用したことを確認するまで、HTTPSを介してあなたに提供する情報は脆弱なままです。
- サービスプロバイダーは、以前のパスワードを無効にするか、変更を要求する場合がありますが、そうでない場合は、修正を適用した後でパスワードを変更します。
基本的な情報は http://heartbleed.com/ にあります。
より多くの技術情報は以下から入手できます:
エンドユーザーではない場合は、serverfaultに関する次の質問を参照してください。
Linuxユーザーとして、OpenSSL 1.0.1eを Debian 7. (wheezy)インストールにインストールしました。
それを修正するために、私はこれを行いました:
apt-get update
apt-get upgrade openssl
これにより、OpenSSLが再インストールされ、DebianWheezyの修正済みOpenSSLである1.0.1e-2に置き換えられます。
主要な問題は実際にはサーバー側にありますが、念のため、クライアントのOpenSSLがインストールされている場合はアップグレードすることをお勧めします。詳細については、Debian Security Advisory、DSA-2896-1 openssl --security updateを参照してください。
また、固定バージョンが利用可能になり次第、OpenSSLを使用するTLS/SSLクライアントをアップグレードする必要があります。特にFTPS(FTP over TLS/SSL)クライアント。
幸い、クライアントの脆弱性が悪用される可能性は、サーバーよりも低くなります。
参照: