Zraniteľnosť OpenSSL Heartbleed bola zneužívaná minimálne od novembra
Diskusia k článku: Zraniteľnosť OpenSSL Heartbleed bola zneužívaná minimálne od novembra
Prispievajte do diskusií ako
prihlásený užívateľ.
Komentár, na ktorý odpovedáte:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
openssl heartbeat
Od: developer1024
|
Pridané:
2014-04-11 21:06:25
1) Ja len nerozumiem tomu poreco rozsirenie heartbeat bolo implementovane ako bolo... teda este je. V principe ide o keep-alive. Preco moze klient poslat cokolvek do 65kB a to iste ma dostat spat? Nestacilo pre overenie ci spojenie existuje odoslat len jeden bajt a ten isty dostat spat? Nemohlo by sa stat to co sa stalo.
2) Pripajam zaujimave veci
- autorom commitu s rozsirenim aj fixom je Dr. Stephen Henson
- osudny commit zo dna (a pozor kedy!) 1.1.2012 o 00:59 (ano, na silvestra!): http://goo.gl/8tZNxU
- commit s fixom zo dna 7.4.2014: http://goo.gl/zyx9wB
V podstate cely fix je v par riadkoch kodu (overenie hranic):
if (1 + 2 + payload + 16 > s->s3->rrec.length)
return 0; /* silently discard per RFC 6520 sec. 4 */
|