¿Por lo que deduzco que necesita un acceso a la memoria local correcto para poder acceder incluso a la clave privada? Es toda esta charla y la preocupación de "¿Fui hackeado?" "Heartbleed acaba de hacerte totalmente hackeable", ¿realmente exagerando el problema?
Por ejemplo, ejecuto algunos sitios web bastante grandes con certificados SSL para HTTPS. ¿Soy realmente explotable de forma remota para que todos puedan ver el paso de texto sin formato?
Toda la historia del corazón ha ido más allá de la cordura, sin duda.
El error es real y puede ser una seria amenaza para cualquier servidor. Sin embargo, el error no es más grave que todos los demás ataques de "saturación de búfer", y podría decirse que menos es más grave que los desbordamientos de write , que pueden conducir más fácilmente al secuestro hostil del servidor. Puede tener una lista de problemas de seguridad informados para OpenSSL en esta página . Ninguno de ellos provocó un pánico como el que estamos presenciando actualmente; sin embargo, algunos eran del tipo de "ejecución remota de código", técnicamente mucho más aterradores que este canard de corazón (pero sin el logotipo ingenioso).
La industria de TI, en su conjunto, ha ideado una estrategia para manejar ese tipo de errores. Se llama "aplicar los malditos parches de seguridad del proveedor del sistema operativo". Esta estrategia no es finalmente elegante, pero funciona. No hay ninguna razón para señalar este error y otorgarle un tratamiento especial, como si fuera un nuevo tipo de cosa (no lo es) o está expuesto a circunstancias especialmente extremas (no es así, sus consecuencias están dentro del rango normal de agujeros de seguridad).
El único beneficio de este pandemonium es que muestra quién hace su trabajo correctamente. Cuando un administrador de sistemas en pánico le pregunta si debe aplicar la corrección de inmediato y / o restablecer todas sus contraseñas y / o matar a su perro (solo para estar seguro), admite implícitamente que no generalmente aplica seguridad parches, o al menos no de inmediato - y ese es el problema.
Lea otras preguntas en las etiquetas tls openssl heartbleed