最终用户是否需要对Heartbleed安全漏洞做任何事情？什么？

我在新闻中看到了“Heartbleed”安全漏洞。作为最终用户，我需要对此做些什么吗？

是!

1. 了解并让其他人知道，所有可能已透露的信息仅通过HTTPS为全球许多Web服务器加密。
2. 您应该联系您的服务提供商并确认他们有计划或已经采取必要措施来纠正漏洞（假设他们容易受到攻击）。这尤其包括银行，金融机构和其他提供最有价值和最敏感信息的服务。在他们确认已应用更正之前，他们通过HTTPS提供的信息仍然容易受到攻击。
3. 您的服务提供商可能会禁用您之前的密码或以其他方式要求您更改密码，但是，如果他们不这样做，请在应用更正后更改密码。

您可以在http://heartbleed.com/上找到基本信息。

有关更多技术信息，请访问：

• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

对于那些不是最终用户的人，请在serverfault上查看此问题：

• Heartbleed：什么是减轻它的选择？

作为Linux用户，我在我的Debian 7.0（wheezy）安装上安装了OpenSSL 1.0.1e 。

要修复它，我这样做了：

apt-get update
apt-get upgrade openssl

这将重新安装OpenSSL并将其替换为1.0.1e-2，即Debian Wheezy的固定OpenSSL。

主要问题实际上是在服务器端，但如果安装了客户端OpenSSL，那么最好将其升级，只是为了确定。有关详细信息，请参阅Debian Security Advisory，DSA-2896-1 openssl - 安全更新。

一旦有固定版本，您还应该升级使用OpenSSL的TLS / SSL客户端。特别是FTPS（FTP over TLS / SSL）客户端。

幸运的是，在客户端中利用漏洞比在服务器中更不可能。

也可以看看：

• 哪些版本的Windows TLS / SSL文件传输软件（如WinSCP和FileZilla）不受Heartbleed的影响？
• Heartbleed漏洞是否会严重影响客户？