হৃদয়গ্রাহী সুরক্ষা বাগ সম্পর্কে কি শেষ ব্যবহারকারীদের কিছু করা দরকার? কি?


10

আমি "হৃদয়গ্রাহী" সুরক্ষা বাগ সম্পর্কে সংবাদে দেখছি। শেষ ব্যবহারকারী হিসাবে, আমাকে এ সম্পর্কে কিছু করা দরকার?


1
এটি গবেষণার অভাব দেখায় যে সমস্যাটি ওপেনএসএসএল এর সাথে রয়েছে যা স্পষ্টভাবে সার্ভারের দিক থেকে রয়েছে।
রামহাউন্ড

4
@ রামহাউন্ড আপনি কি তার জন্য একটি রেফারেন্স সরবরাহ করতে পারেন? ক্লায়েন্ট অ্যাপ্লিকেশনগুলি এসএসএল / টিএলএস সম্পর্কিত কার্যকারিতা সরবরাহ করতে ওপেনএসএসএল লাইব্রেরিতে লিঙ্ক করতে পারে (উদাহরণস্বরূপ এটি দেখুন )। এছাড়াও, থেকে heartbleed.com (বোল্ড হাইলাইট খনি): " যখন এটি শোষিত হয় ক্লায়েন্ট সার্ভার থেকে এবং মেমরি বিষয়বস্তুর লিক বাড়ে ক্লায়েন্ট থেকে সার্ভারে। "
ড্যানিয়েল অঙ্গুলিনির্দেশ

@ ড্যানিয়েলব্যাক, রামহাউন্ড এই প্রশ্নটি হ্রাস করেছেন। যে কেউ একটি "না" উত্তর যুক্ত করতে পারেন। (আমি এখনও কোনও উত্তর নির্বাচন করি নি।)
ড্যানোর্টন

যদিও উভয় প্রান্তে ফাঁস হতে পারে একটি দূষিত হ্যাকার ক্লায়েন্ট পক্ষের আক্রমণ করতে যাচ্ছে না। যদিও গবেষণার অভাব সম্পর্কে আমি আমার বক্তব্যের পাশে দাঁড়িয়েছি।
তবুও

1
@ রাহাউন্ড আপনি ভুল পড়েছেন। ওপেনএসএসএল এর সাথে লিঙ্ক করা যে কোনও কিছুই লক্ষ্য। এখন, এর মধ্যে অ্যাপাচি রয়েছে। তবে এটি কোনওভাবেই আপাচে সীমাবদ্ধ নয়। এবং তদতিরিক্ত, আমি এখনও বুঝতে পারি না যে আপনি কীভাবে এটি সঠিকভাবে গবেষণা করেন নি ched তদতিরিক্ত, আপনি কম্পিউটার সিকিউরিটির 6 টি ডাম্বাস্ট আইডিয়াসের একটি ছোটখাটো ডাম্বের শিকার হয়ে পড়েছেন - "আমরা লক্ষ্য নয়" কোনও যুক্তি নয়।
strugee

উত্তর:


7

হ্যাঁ!

  1. জেনে নিন এবং অন্যকে জানুন যে সমস্ত তথ্য প্রকাশিত হতে পারে যা কেবলমাত্র এইচটিটিপিএস দ্বারা সারা বিশ্বের অনেক ওয়েব সার্ভারের জন্য এনক্রিপ্ট করা হয়েছিল।
  2. আপনার পরিষেবা সরবরাহকারীদের সাথে আপনার যোগাযোগ করা উচিত এবং তাদের নিশ্চিত করা উচিত যে তাদের পরিকল্পনা আছে বা ইতিমধ্যে দুর্বলতা সংশোধন করার জন্য প্রয়োজনীয় পদক্ষেপ নিয়েছেন (তারা মনে করেন তারা এটির সংবেদনশীল ছিল)) এটিতে বিশেষত ব্যাংক, আর্থিক প্রতিষ্ঠান এবং অন্যান্য পরিষেবাগুলি অন্তর্ভুক্ত রয়েছে যা আপনার সর্বাধিক মূল্যবান এবং সংবেদনশীল তথ্য রাখে। যতক্ষণ না তারা নিশ্চিত করেছে যে তারা সংশোধনগুলি প্রয়োগ করেছে, তারা এইচটিটিপিএসের মাধ্যমে আপনার কাছে যে তথ্য সরবরাহ করে তা অরক্ষিত থাকে
  3. আপনার পরিষেবা সরবরাহকারী আপনার পূর্ববর্তী পাসওয়ার্ডগুলি অক্ষম করতে পারে বা অন্যথায় আপনাকে সেগুলি পরিবর্তন করার প্রয়োজন হতে পারে, তবে, যদি তারা তা না করে, সংশোধনগুলি প্রয়োগ করার পরে আপনার পাসওয়ার্ডগুলি পরিবর্তন করে

আপনি http://heartbleed.com/ এ প্রাথমিক তথ্য পেতে পারেন

আরও প্রযুক্তিগত তথ্য থেকে পাওয়া যায়:

যারা শেষ ব্যবহারকারী নয় তাদের জন্য এই প্রশ্নটি সার্ভারফল্টে দেখুন:


একটি লিনাক্স শেষ ব্যবহারকারী হিসাবে, আমার ল্যাপটপে (ডেবিয়ান হুইজি) ওপেনএসএসএইচ 1.0.1e ইনস্টল করা আছে। আমার কি এখনও উদ্বিগ্ন হওয়ার কিছু নেই?

@ স্ট্যাসিঅ্যান ওপেনএসএসএইচ প্রভাবিত নয়, ওপেনএসএসএল is এটা কি টাইপো ছিল?
strugee

হ্যাঁ, এটি একটি টাইপো ছিল

You should contact your service providers and confirm that they have plans or have already taken the necessary steps to correct the vulnerabilityআমি পরিষেবা প্রদানকারীদের দ্বারা ধরে নিয়েছি আপনি ওয়েবসাইটগুলি বোঝাতে চাইছেন এবং আইএসপিগুলি ঠিক নয়?
সিনেটেক

@ সাইনটেক, গুগ পয়েন্ট, তবে শব্দবন্ধটি বিশ্রী। আপনি একটি "ওয়েবসাইট" সাথে যোগাযোগ করতে পারবেন না। আমি আশ্চর্য কি আরও ভাল শব্দ সেখানে যেতে পারে।
ড্যানরটন

0

লিনাক্স ব্যবহারকারী হিসাবে আমার ওপেনএসএসএল 1.0.1e আমার ডেবিয়ান 7.0 (হুইজি) ইনস্টলে ইনস্টল করা ছিল ।

এটি ঠিক করার জন্য, আমি এটি করেছি:

apt-get update
apt-get upgrade openssl

এটি ওপেনএসএসএল পুনরায় ইনস্টল করে এবং এটি ডেবিয়ান হুইজির জন্য স্থির ওপেনএসএসএলকে 1.0.1e-2 দিয়ে প্রতিস্থাপন করে।

প্রধান সমস্যাটি সত্যই সার্ভারের পক্ষে, তবে আপনার ক্লায়েন্ট ওপেনএসএসএলটি ইনস্টল করা থাকলে এটি আপগ্রেড করা ভাল ধারণা, কেবলমাত্র নিশ্চিত হওয়া। দেখুন ডেবিয়ান সিকিউরিটি উপদেষ্টা, জেলাকে-2896-1 OpenSSL - সুরক্ষা আপডেট আরও তথ্যের জন্য।


0

আপনার নিজের টিএলএস / এসএসএল ক্লায়েন্টগুলিও আপগ্রেড করা উচিত যা স্থির সংস্করণটি পাওয়া মাত্রই ওপেনএসএসএল ব্যবহার করে। বিশেষত এফটিপিএস (এফটিপি ওভার টিএলএস / এসএসএল) ক্লায়েন্ট।

ভাগ্যক্রমে ক্লায়েন্টগুলির দুর্বলতার অপব্যবহার সার্ভারের চেয়ে কম সম্ভাব্য।

আরো দেখুন:


যখন আমি বললাম যে আমি এখনও আউটলুক এক্সপ্রেস ব্যবহার করি people তখন লোকেরা কৌতুক করছে? এখন কে হাসছে? :-P
সিনিটেক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.