Vejo nas notícias sobre o bug de segurança "Heartbleed". Como usuário final, preciso fazer algo a respeito?
Vejo nas notícias sobre o bug de segurança "Heartbleed". Como usuário final, preciso fazer algo a respeito?
Respostas:
Sim!
Você pode encontrar informações básicas em http://heartbleed.com/
Mais informações técnicas estão disponíveis em:
Para aqueles que não são usuários finais, consulte esta pergunta em serverfault:
You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerability
Presumo que por prestadores de serviços você quer dizer os sites e não os ISPs, certo?
Como usuário do Linux, eu tinha o OpenSSL 1.0.1e instalado na minha instalação do Debian 7.0 (wheezy).
Para consertar, fiz o seguinte:
apt-get update
apt-get upgrade openssl
Isso reinstala o OpenSSL e o substitui por 1.0.1e-2, o OpenSSL fixo para o Debian Wheezy.
O principal problema é realmente do lado do servidor, mas é uma boa idéia atualizar o OpenSSL do cliente, se estiver instalado, apenas para ter certeza. Veja o Aviso de Segurança Debian, DSA-2896-1 openssl - atualização de segurança para mais informações.
Você também deve atualizar seus clientes TLS / SSL que usam o OpenSSL assim que a versão fixa estiver disponível. Particularmente clientes FTPS (FTP sobre TLS / SSL).
Felizmente, uma exploração da vulnerabilidade nos clientes é menos provável do que nos servidores.
Veja também:
:-P