有很多网站谁是不是目前脆弱的,但我不知道,如果他们是在几天前脆弱。
例如:
我该怎么办?在重新发行之前不使用这些吗?我怎么知道他们用新密钥重新颁发证书?似乎我什至不应该登录这些网站来更改我的密码,因为无法知道它们是真正的网站。
我有很多在线帐户、网络服务等等——个人和企业——所以很明显(?)我使用密码管理器来处理它们。具体来说,我使用 Lastpass,但我的问题适用于任何和所有:
鉴于Heartbleed 问题和相关问题,即使我想更改我所有的密码(我们不应该定期这样做吗??),我到底如何才能以有效的方式更改这么多密码?
如果我必须单独访问每个服务和站点并手动更改 PW,很明显这需要一个周末的专门工作......密码安全性很好,但这是不切实际的。
更新:我刚刚使用了 Lastpass 的“安全挑战”,它报告说我有 274 个站点,安全评分超过 83%。工作中的几个 Intranet 站点重复使用相同的密码,这大大降低了我的分数。我所有的互联网帐户得分都在 92% 以上。
最近的 Heartbleed 错误是否会影响我生成的 ssh 密钥并用于通过 Github、Heroku 和其他类似站点推送/拉取代码?
我需要更换我一直在使用的钥匙吗?
我在新闻中看到有关“Heartbleed”安全漏洞的消息。作为最终用户,我需要做些什么吗?
最近宣布的 OpenSSL 中的 Heartbleed 错误影响了许多站点(互联网的 70%)。
有一个网站:
有一个基于网络的测试:
我应该怎么做来保护我运行的网站?
我尝试了以下操作,但无法获得构建日期晚于:
UTC 2012 年 8 月 21 日,星期二 05:18:46
我做了以下工作:
apt-get dist-upgrade
apt-get update
apt-get upgrade openssl
和
apt-get purge openssl
apt-get install openssl
和
apt-get purge libcrypto1.0.0
apt-get install libcrypto1.0.0
一切似乎都正常,但构建日期仍然如上。而http://filippo.io/Heartbleed/测试仍然失败。
我知道我没有疯,因为我能够在星期三更新我的相同服务器。(除硬件外,所有方式都相同)。
编辑:
我比较了两台机器上的 /etc/apt/sources.list 文件,它们看起来是一样的。一台服务器如何更新而另一台不会?
编辑:
按照建议做了:
apt-get purge openssl
reboot
apt-get install openssl
reboot
无济于事。
在 libssl1.0.0 上尝试了相同的命令,仍然与上面列出的版本相同。
这个让我难住了。
有什么建议?
编辑
一旦我获得足够的街头信誉 (15),我就会 +1 可行的解决方法
编辑
按照建议,我使用 --reinstall --print-uris 运行 apt-get 并返回:
http://us.archive.ubuntu.com/ubuntu/pool/main/o/openssl/openssl_1.0.1-4ubuntu5.12_amd64.deb
然后重新启动,与上面列出的版本相同。仍然失败的心血。
我有一个任务来验证我们公司的软件补丁来解决Heartbleed攻击。
现在,我确定我尝试利用的软件版本使用1.0.1eOpenSSL 库,它应该是易受攻击的。但是,我尝试了多个 Heartbleed 测试工具,他们都说响应中存在错误,并且我的应用程序可能不存在漏洞。
在测试过程中,CardiacArrest工具返回:
[INFO] Connecting to 10.63.62.79:443 using TLSv1.2
[INFO] Sending ClientHello
[INFO] ServerHello received
[INFO] Sending Heartbeat
[INFO] The server received an alert. It is likely not vulnerable.
[INFO] Alert Level: fatal
[INFO] Alert Description: Unexpected message (see RFC 5246 section 7.2)
[INFO] Closing connection
在咨询RFC 5264 后,我发现了有关“意外消息”的更多信息:
意外
消息 收到不适当的消息。此警报始终是致命的,不应在正确实现之间的通信中观察到。
问题:
OpenSSL在没有Heartbeat扩展的情况下编译吗?OpenSSL?非常感谢!
OpenSSL 中的 Heartbleed Bug 是否会影响所有 SSL 证书,无论我在哪里购买或我是否自行认证?
例如,如果我从 GoDaddy 购买了 SSL 证书并按照他们的 Apache 教程 ( http://support.godaddy.com/help/article/5238/installing-an-ssl-certificate-in-apache)在我的服务器上进行设置),这是否容易被 Heartbleed 利用?
我注意到许多人仍在使用受广泛传播的支持 TLS/SSL 的 Windows 客户端(如 WinSCP 和 Filezilla)的 Heartbleed 漏洞影响的版本。
为了能够提出安全的建议,我想要一个包含安全版本的列表。
可能有一些在 1.0.1 之前使用 OpenSSL 的旧版本(请参阅http://heartbleed.com/)似乎可以安全使用(如果没有其他原因不使用它们)。
例如,WinSCP 5.5.3(尚未发布)在 TLS/SSL 核心升级到 OpenSSL 1.0.1g 后将是安全的。
WinSCP 4.3.7 似乎尚未受到影响,因为它在 1.0.1 之前具有 OpenSSL,有人可以确认这一点,是否有更高版本的工作?
Filezilla 呢?
我通过安全的无线连接连接到互联网。我很确定没有人在我的局域网上对我进行过 MITM。其他人如何使用 Heartbleed 窃取私钥访问我的数据?我知道他们可以解密我的通信,但我使用的网站在没有 SSL 的情况下输入密码,据我所知,没有人泄露过我的任何帐户?如果 MITM 对我来说很少见,为什么会有这么大的安全风险?