Tag Archives: heartbleed

OpenSSL 的 Heartbleed 漏洞不限於 Server,也包含 Client...

Heartbleed 是惡意的 client 可以利用 OpenSSL 的 Heartbeat Extension 漏洞取得 server 的機敏資訊。 而在「Testing for "reverse" Heartbleed」這篇說明 (並且 PoC) 這組漏洞也適用於反向的操作,也就是惡意的 server 可以取得 client 的資訊。 exploit 相較起來比正向的難一些,但還是可行並且成功做出來了。文章裡有描述怎麼實做的... 換句話說,反正手上的 OpenSSL 都趕快升級...

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , | 2 Comments

NSA 從兩年前就知道 OpenSSL 的 Heartbleed bug...

依據 Bloomberg 的報導,NSA 兩年前就知道 OpenSSL 的 Heartbleed bug 了:「NSA Said to Exploit Heartbleed Bug for Intelligence for Years」。 翻了 GitHub 上的 mirror 記錄,可以發現是在 2012/01/01 commit 進去的:「commit 4817504d069b4c5082161b02a22116ad75f822b1」,幾乎是一開始就知道了? 苦啊...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , | 1 Comment

OpenSSL 安全漏洞 (CVE-2014-0160)

CVE-2014-0160,又稱 Heartbleed Bug,是 OpenSSL 在 TLS 與 DTLS 協定裡的 Heartbeat Extension (RFC 6520) 的錯誤實作。 OpenSSL 官方的 security advisory 在這:「OpenSSL Security Advisory [07 Apr 2014]」,影響的範圍是: Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. 實務上爆炸的程度則是: A missing … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , , , , , , | 1 Comment