我没有运行任何 Apache 或任何触发 ssl 库的东西,那么 Ubuntu 中是否有默认运行 Open ssl 的服务?
因此,我只是为互联网浏览器启动实时会话。这样安全吗?
答案1
简短的回答:不,你不是。
Heartbleed 漏洞已在其他地方进行了详尽的分析,但关键在于它会影响服务器。除非您在计算机上运行服务器,否则您无需关心它。这确实不是但这意味着你是安全的。
危险在于您的银行会受到影响,您当然应该更改密码等。您使用 Live CD 进行银行业务这一事实完全无关紧要,该错误是服务器端的,因此您和其他人一样会受到影响。
答案2
我必须反驳其他两个答案。如果你正在启动 livecd 进行互联网浏览,并且只用于浏览,你的电脑不会受到攻击。Heartbleed 漏洞可用于攻击连接到恶意服务器的客户端,就像恶意客户端可利用该漏洞攻击服务器一样。但是,您使用的唯一客户端(大概)是 Firefox,它使用 NSS 而不是 OpenSSL,因此不会受到攻击。
然而,你并不安全。如果您访问的任何服务器存在漏洞,则您发送到该服务器的任何信息都可能被攻击者读取。
答案3
在使用互联网进行银行业务之前,只需运行:
sudo apt-get update
sudo apt-get install libcurl3 openssl python-openssl ssl-cert firefox firefox-globalmenu
如果你真的内存紧张,可以在实时系统启动后首先执行此操作以最大限度地提高效率。如果你正在银行业务等,Firefox 可能应该更新以赶上所有其他安全更新。
我通过运行找到了这些应用程序
dpkg -l | grep OpenSSL
在 12.04.4 Ubuntu live cd 上。这里可能还有更多使用 SSL 的内容我遗漏了,因此我没有进一步搜索。
答案4
不,如果您运行的是 OpenSSL 1.0.1 到 1.0.1f 的任何版本。Ubuntu 12.04.4 附带 OpenSSL 1.0.1,所以是的,您受此漏洞影响,不,您并不安全。
如果您可以更新到 OpenSSL 1.0.1g,那么您就是安全的,但截至目前,12.04.4 附带一个易受攻击的版本 1.0.1。
这里有一份清单,以及更好的解释Heartbleed 官方网站。去看看。另外,还有一个问题,如何修补 OpenSSL 中的 Heartbleed 漏洞 (CVE-2014-0160)?,在网站上。检查一下这些,您就应该准备好了。