Quali sono gli effetti collaterali della ricompilazione di OpenSSL con -DOPENSSL_NO_HEARTBEATS?

8

Scusa se è molto aperto. Tutte le notizie sull'exploit Heartbleed hanno invaso Google e non riesco a capire cosa faccia. Va bene ricompilare?

    
posta user2738698 08.04.2014 - 20:48
fonte

1 risposta

12

Se compilate OpenSSL con -DOPENSSL_NO_HEARTBEATS ottenete una libreria OpenSSL e strumenti che possono eseguire qualsiasi operazione che OpenSSL "normale" può fare, tranne il supporto dell'estensione SSL / TLS chiamata "Heartbeat". Tale estensione è descritta in RFC 6520 . È un'estensione piuttosto recente.

Come per tutte le estensioni, il suo utilizzo in qualsiasi connessione SSL è soggetto a una negoziazione che si verifica nei primi passi dell'handshake. Fondamentalmente, l'estensione può essere usata solo se il client afferma di supportarlo e vuole usarlo (nel ClientHello ) e il server risponde che lo supporta ed è OK nell'usarlo ( nel ServerHello ). Se la libreria SSL è stata compilata senza il supporto Heartbeat, non pubblicizzerà il supporto Heartbeat; se è coinvolto in una stretta di mano in cui appare questa estensione, la gestirà come "estensione sconosciuta", cioè ignorarla del tutto.

A parte questo, il tuo OpenSSL appena compilato si comporterà come il precedente, e le cose funzioneranno. Ciò che si romperà è se un'applicazione specifica insiste sull'utilizzo dell'estensione Heartbeat: tale estensione proverà ad attivare l'estensione e ad usarla, e non funzionerà.

Guardando il codice sorgente di OpenSSL, sembra che la funzione SSL_heartbeat() (usata per inviare un "battito" da un'applicazione Heartbeat-aware) sia una macro, che richiama la generica funzione SSL_ctrl() con alcuni parametri numerici. Ciò implica che se un'applicazione vuole veramente utilizzare quella funzionalità e la fornisce con la libreria OpenSSL senza heartbeat, allora non ci sarà nessun errore di collegamento; il codice verrà eseguito; ma qualsiasi chiamata che trasmette beat provocherà uno stato di errore. Il modo in cui l'applicazione reagirà dipende dall'applicazione. In effetti, dal punto di vista dell'applicazione, le cose saranno come se il peer non supportasse Heartbeat.

Fortunatamente, questa estensione è molto recente e non ci devono essere molte applicazioni che sono a conoscenza di Heartbeat, per non parlare di usarlo. È probabile che il tuo OpenSSL ricompilato non rompere nulla, quindi la risposta alla tua domanda è: , è molto probabilmente bene da ricompilare.

    
risposta data 08.04.2014 - 21:08
fonte

Leggi altre domande sui tag