Sì, influisce sui client in modo grave, come indicato sul sito Web heartbleed:
Furthermore you might have client side software on your computer that
could expose the data from your computer if you connect to compromised
services.
Naturalmente, e questo non è solo il caso di questa vulnerabilità o di un particolare client, il client ha ancora per avviare la connessione da attaccare. In nessun modo questa vulnerabilità consente a un utente malintenzionato di avviare una connessione al proprio web crawler e sfruttare la vulnerabilità.
Nel tuo caso comunque, dato che hai un controllo diretto sul codice client OpenSSL (e suppongo che questo sia il caso basato sul tuo post), vuoi assicurarti che la tua versione di OpenSSL non sia inclusa nell'opzione Heartbeat e se lo fa, rimuoverlo. Per fare ciò, puoi:
-
mostra quali opzioni specifiche sono state utilizzate per compilare la tua versione di
OpenSSL:
openssl version -o
-
o visualizza ogni informazione dalla tua versione OpenSSL:
openssl version -a
-
compilare OpenSSL senza supporto Heartbeat, semplicemente usando questo flag in fase di compilazione:
-DOPENSSL_NO_HEARTBEATS
Una volta che questo è stato fatto, o se la tua versione di OpenSSL non l'ha inclusa inizialmente, allora non sei vulnerabile.
Modifica: un altro metodo consiste nel recuperare la versione di OpenSSL con:
openssl version
E confrontalo con l'elenco delle versioni interessate disponibili on heartbleed :
- OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
- OpenSSL 1.0.1g is NOT vulnerable
- OpenSSL 1.0.0 branch is NOT vulnerable
- OpenSSL 0.9.8 branch is NOT vulnerable