OpenSSL 安全漏洞 (CVE-2014-0160)
CVE-2014-0160,又稱 Heartbleed Bug,是 OpenSSL 在 TLS 與 DTLS 協定裡的 Heartbeat Extension (RFC 6520) 的錯誤實作。 OpenSSL 官方的 security advisory 在這:「OpenSSL Security Advisory [07 Apr 2014]」,影響的範圍是: Only 1.0.1 and...
View ArticleNSA 從兩年前就知道 OpenSSL 的 Heartbleed bug…
依據 Bloomberg 的報導,NSA 兩年前就知道 OpenSSL 的 Heartbleed bug 了:「NSA Said to Exploit Heartbleed Bug for Intelligence for Years」。 翻了 GitHub 上的 mirror 記錄,可以發現是在 2012/01/01 commit 進去的:「commit...
View ArticleOpenSSL 的 Heartbleed 漏洞不限於 Server,也包含 Client…
Heartbleed 是惡意的 client 可以利用 OpenSSL 的 Heartbeat Extension 漏洞取得 server 的機敏資訊。 而在「Testing for “reverse” Heartbleed」這篇說明 (並且 PoC) 這組漏洞也適用於反向的操作,也就是惡意的 server 可以取得 client 的資訊。 exploit...
View Article
More Pages to Explore .....