¿El error Heartbeat Openssl también afecta a los servidores que aplican la autenticación del cliente?

Navega tus respuestas
2

Con respecto a la prioridad de actualizar servidores, quiero confirmar esto, como leí en enlace capítulo 3:

  

Sin embargo, un mensaje de HeartbeatRequest NO DEBE enviarse durante
  apretones de manos Si se inicia un apretón de manos mientras que un HeartbeatRequest es
  aún en vuelo, el par que envía DEBE detener la retransmisión de DTLS
  temporizador para ello. El par que recibe DEBE descartar el mensaje
  En silencio, si llega durante el apretón de manos. En caso de DTLS,
  Los mensajes de HeartbeatRequest de épocas anteriores DEBEN descartarse.

¿Tengo razón al pensar que, si un servidor solo acepta conexiones SSL de clientes conocidos, nadie más puede explotar el error durante el protocolo de enlace?

Tengo entendido que el mensaje debe eliminarse y que el servidor no responde.

    
pregunta MatK 09.04.2014 - 15:31
fuente

1 respuesta

4

Aparentemente, las versiones afectadas de OpenSSL no implementan ese "DEBERÍA": respetan los mensajes de latido durante el apretón de manos. Sí, OpenSSL debería descartar dichos mensajes hasta que se haya completado el protocolo de enlace, pero también debería no devolver los bytes de datos fuera de su búfer, y sin embargo lo hace.

Por lo tanto, no, requerir un saludo completo con autenticación del cliente no protege contra el error.

    
respondido por el Tom Leek 09.04.2014 - 15:34
fuente

Lea otras preguntas en las etiquetas

¿Podría un vecino ver mi tráfico cuando tengamos Internet por cable? ¿Montar de lectura-escritura tanto en el volumen TrueCrypt oculto + regular al mismo tiempo?