Il bug di Heartbeat Openssl interessa anche i server che applicano l'autenticazione del client?

2

Riguardo alla priorità di aggiornare i server, voglio confermarlo, come ho letto nel link capitolo 3:

However, a HeartbeatRequest message SHOULD NOT be sent during
handshakes. If a handshake is initiated while a HeartbeatRequest is
still in flight, the sending peer MUST stop the DTLS retransmission
timer for it. The receiving peer SHOULD discard the message
silently, if it arrives during the handshake. In case of DTLS,
HeartbeatRequest messages from older epochs SHOULD be discarded.

Sono corretto nel pensare che, se un server accetta solo connessioni SSL da client noti, nessun altro può sfruttare il bug durante l'handshake?

La mia comprensione è che il messaggio deve essere eliminato e che il server non risponde.

    
posta MatK 09.04.2014 - 15:31
fonte

1 risposta

4

A quanto pare, le versioni interessate di OpenSSL non implementano tale "DOVREBBE": onorano i messaggi heartbeat durante l'handshake. Sì, OpenSSL dovrebbe scartare tali messaggi fino a quando l'handshake è stato completato - ma dovrebbe anche non restituire i byte di dati al di fuori del suo buffer, eppure lo fa.

Pertanto, no, richiedere un handshake completo con l'autenticazione del client non protegge dal bug.

    
risposta data 09.04.2014 - 15:34
fonte

Leggi altre domande sui tag