Сертификаты HeartBleed и Client

300
Myforwik

Правда ли, что сервер, настроенный на требование сертификата клиента, не может страдать от уязвимости Heartbleed, если у этого пользователя нет сертификата клиента?

1
HeartBleed был / является в первую очередь уязвимостью сервера. Клиент был бы уязвим только в том случае, если на клиентском устройстве была установлена ​​уязвимая версия OpenSSL. Точно так же, даже если клиент был исправлен, если сервер был уязвим, эксплойт все еще можно было бы использовать, если сервер был настроен для ответа на сообщения HeatbeatRequest. Ramhound 9 лет назад 0
Почему я спрашиваю, так это то, что ни один из найденных мной тестеров не способен протестировать сервер, требующий сертификата клиента. Он не видит, чтобы пройти этап переговоров достаточно далеко, чтобы когда-либо иметь возможность использовать heartbleed. Mundi 9 лет назад 0

1 ответ на вопрос

1
LawrenceC

Из RFC 6520 :

 A HeartbeatRequest message can arrive almost at any time during the lifetime of a connection. Whenever a HeartbeatRequest message is received, it SHOULD be answered with a corresponding HeartbeatResponse message.

Я полагаю, что это подразумевает, что это может произойти во время фазы «приветствия» TLS, когда клиент и сервер обмениваются сертификатами, то есть до того, как сервер скажет «нет» клиенту на основании сертификата или его отсутствия.

Следует отметить. Если вы сконфигурируете свой сервер, чтобы он не отвечал на сообщение HeartbeatRequest, любая уязвимость с самим сообщением не может быть использована. Ramhound 9 лет назад 1

Похожие вопросы