Preguntas con etiqueta 'heartbleed'

2
respuestas

¿Cómo es posible incluso la explotación de Heartbleed?

He leído acerca de la vulnerabilidad OpenSSL de Heartbleed y entiendo el concepto. Sin embargo, lo que no entiendo es la parte en que pasamos 64k como la longitud y el servidor devuelve 64kb de datos aleatorios porque no verifica si realmente pa...
hecha 10.10.2016 - 22:03
4
respuestas

¿Qué clientes han demostrado ser vulnerables a Heartbleed?

En varias páginas , se reitera que los atacantes pueden obtener hasta 64 K de memoria del servidor o cliente que usa una implementación OpenSSL vulnerable a Heartbleed (CVE-2014-0160). Hay docenas de < a href="https://gist.github.com/take...
hecha 09.04.2014 - 16:08
2
respuestas

¿La vulnerabilidad del corazón del corazón afecta a los clientes tan seriamente?

Si tengo un rastreador web (utilizando una versión de OpenSSL no parcheada) que se puede convencer para que se conecte a un sitio https malvado, ¿pueden obtener todo de mi memoria de proceso? Para atacar a un servidor, puede seguir reconectándos...
hecha 08.04.2014 - 14:55
2
respuestas

¿Qué deben hacer los usuarios finales con Heartbleed?

¿Qué debe hacer un operador de sitio web sobre el Heartbleed? OpenSSL exploit? se refiere principalmente a lo que las personas que ejecutan sitios web deberían hacer sobre Heartbleed. ¿Qué deberían hacer los usuarios finales de los sitios w...
hecha 08.04.2014 - 06:47
4
respuestas

¿Heartbleed significa nuevos certificados para cada servidor SSL?

Si no has oído hablar del Bug de Heartbleed , es algo para echarle un vistazo de inmediato. Básicamente significa que un atacante puede explotar una vulnerabilidad en muchas versiones de OpenSSL para poder acceder a la clave privada de un ser...
hecha 08.04.2014 - 05:10
1
respuesta

¿Cómo funciona exactamente la explotación del latido (Heartbleed) de OpenSSL TLS?

He estado escuchando más sobre el OpenSSL Heartbleed attack , que explota algunas fallas en el paso de latidos del corazón de TLS. Si no lo has escuchado, permite a las personas: Robar claves privadas de OpenSSL Robar claves secundarias d...
hecha 08.04.2014 - 09:40
6
respuestas

Heartbleed y Routers / ASAs / other

Bien, por lo que escuché por primera vez acerca de Heartbleed hace unas horas a través de la fuente de preguntas de intercambio de pila, y luego de un momento de pánico, me di cuenta de que los únicos servidores web que he protegido mediante Ope...
hecha 08.04.2014 - 07:20
3
respuestas

¿Cómo puede un atacante usar una clave privada filtrada?

Admito que, aunque soy programador, mi conocimiento de seguridad / cifrado es bastante básico. Entiendo que el potencial de pérdida de claves SSL privadas se cita como uno de los efectos más graves del error Heartbleed. Mi pregunta es, ¿cómo pue...
hecha 11.04.2014 - 13:48
5
respuestas

¿Qué debe hacer un operador de un sitio web sobre la explotación de Heartbleed OpenSSL?

CVE-2014-0160 enlace Se supone que esta es una pregunta canónica sobre cómo lidiar con el exploit Heartbeat. Ejecuto un servidor web Apache con OpenSSL, así como algunas otras utilidades que dependen de OpenSSL (como cliente). ¿Qué...
hecha 08.04.2014 - 05:10
2
respuestas

¿Se puede usar Heartbleed para obtener memoria de otros procesos?

Según enlace , los contenidos de la memoria se pueden filtrar del servidor al cliente y viceversa. Diga que he realizado operaciones bancarias en un perfil de navegador separado (pero con el mismo usuario). Si otro ataque del navegador Heart...
hecha 08.04.2014 - 10:32