Stiamo analizzando il problema al lavoro e mi chiedo come scoprire se c'è qualche binario con una versione compilata staticamente di openssl che include questo bug.
Sarebbe possibile trovare un'impronta digitale dal codice che contiene l'errore?
Nel codice OpenSSL ci sono diverse definizioni di stringhe relative alla funzione heartbeat:
./ssl/ssl_err.c:{ERR_FUNC(SSL_F_DTLS1_HEARTBEAT), "DTLS1_HEARTBEAT"},
./ssl/ssl_err.c:{ERR_FUNC(SSL_F_TLS1_HEARTBEAT), "SSL_F_TLS1_HEARTBEAT"},
./ssl/ssl_err.c:{ERR_REASON(SSL_R_TLS_HEARTBEAT_PEER_DOESNT_ACCEPT),"peer does not accept heartbearts"},
./ssl/ssl_err.c:{ERR_REASON(SSL_R_TLS_HEARTBEAT_PENDING) ,"heartbeat request already pending"},
Quindi la possibilità è alta nel trovare la stringa heartbeat (ignora maiuscole / minuscole) nel programma compilato staticamente.
Leggi altre domande sui tag openssl zero-day heartbleed