Sé que la vulnerabilidad explota la respuesta Heartbeat, que es una característica de TLS. Ahora, al probar algunos de los sitios importantes de mi , hubo algunas palabras que me asustaron, a saber :
La extensión 15 de TLS (latido) parece deshabilitada, por lo que su servidor probablemente no se verá afectado.
¿Eso significa que hay otra posible vulnerabilidad relacionada con Heartbeat, o la redacción es así solo para dejar la posibilidad de otras vulnerabilidades y no hacerme sentir seguro?
Estos servicios de prueba de "corazón" funcionan al intentar realizar el exploit de latido de OpenSSL TLS y ver si tiene éxito. Hay tres resultados posibles:
1) El servidor acepta el paquete de "latido" mal formado y lo deja caer. En este caso, puede estar razonablemente seguro de que el servidor no se ve afectado (o que un servidor de seguridad u otro servicio lo está protegiendo).
2) El servidor acepta el paquete y devuelve contenidos de memoria aleatorios en su respuesta. En este caso, sabe con certeza que el servidor es vulnerable.
Sin embargo, te encuentras con otra opción:
3) El servidor indica que no admite la opción de latido de TLS. Es razonable suponer que el servidor es seguro, pero no puede estar seguro. Es posible, por ejemplo, que el servidor esté utilizando la versión vulnerable de la biblioteca OpenSSL y pueda ser engañado para que acepte un paquete de latidos TLS.
Lea otras preguntas en las etiquetas tls heartbleed