HeartBleed- und Client-Zertifikate

396
Myforwik

Stimmt es, dass ein Server, der ein Clientzertifikat benötigt, nicht unter der Heartbleed-Sicherheitsanfälligkeit leiden kann, wenn dieser Benutzer kein Clientzertifikat hat?

1
HeartBleed war / ist in erster Linie eine Server-Verwundbarkeit. Der Client ist nur anfällig, wenn sich auf dem Clientgerät eine anfällige Version von OpenSSL befindet. Auch wenn der Client gepatcht wurde, falls der Server anfällig war, konnte der Exploit weiterhin missbraucht werden, vorausgesetzt, der Server war für die Antwort auf HeatbeatRequest-Nachrichten konfiguriert. Ramhound vor 10 Jahren 0
Warum ich frage, ist, dass kein Tester, den ich gefunden habe, in der Lage ist, einen Server zu testen, für den ein Client-Zertifikat erforderlich ist. Sie kann die Verhandlungsphase nicht weit genug durchstehen, um Heartbleed jemals einsetzen zu können. Mundi vor 10 Jahren 0

1 Antwort auf die Frage

1
LawrenceC

Von RFC 6520 :

 A HeartbeatRequest message can arrive almost at any time during the lifetime of a connection. Whenever a HeartbeatRequest message is received, it SHOULD be answered with a corresponding HeartbeatResponse message. 

Ich glaube, dies impliziert, dass dies während der "Hallo" -Phase von TLS geschehen kann, in der Client und Server Zertifikate austauschen, dh bevor der Server dem Client auf der Grundlage des Zertifikats "Nein" sagen kann oder dessen Fehlen.

Man sollte darauf hinweisen. Wenn Sie Ihren Server so konfigurieren, dass er nicht auf die HeartbeatRequest-Nachricht antwortet, kann die Verwundbarkeit der Nachricht selbst nicht ausgenutzt werden. Ramhound vor 10 Jahren 1