心脏出血漏洞对客户的影响也一样严重吗？

Question

如果我有一个网络爬虫(使用一个非补丁版本的OpenSSL)，可以诱使它连接到一个邪恶的https站点，他们能从我的进程内存中获得所有东西吗？要攻击服务器，您可以继续重新连接以获得更多的64 be块(如果我正确理解的话)，但是客户端可以被迫多次重新连接，以获得更多的块吗？

Answer 1

是的，正如在“心脏出血”网站上：声明的那样，它对客户的影响非常严重。

此外，您的计算机上可能有客户端软件，如果连接到已损坏的服务，则可能会公开来自计算机的数据。

当然，这不仅仅是针对此漏洞或特定客户端的情况，客户端仍然必须启动要受到攻击的连接。此漏洞绝不允许攻击者启动到web爬虫的连接并利用该漏洞进行攻击。

但是，在您的情况下，由于您对OpenSSL客户端代码有一个直接的控制(我认为这是基于您的帖子)，您希望确保您的版本的OpenSSL没有附带心脏搏击选项，如果有，则删除它。为了做到这一点，你可以：

• 显示用于编译OpenSSL：openssl version -o版本的特定选项
• 或者显示OpenSSL版本中的所有信息：openssl version -a
• 在编译时简单地使用此标志来编译OpenSSL，而不支持心跳：-DOPENSSL_NO_HEARTBEATS

一旦完成了这些操作，或者如果您的OpenSSL版本最初没有包含它，那么您就不会受到攻击。

编辑:另一种方法是使用以下方法检索OpenSSL版本：

openssl version

并将其与受影响的可用论心血版本列表进行比较：

• OpenSSL 1.0.1至1.0.1f (包括在内)易受攻击
• OpenSSL 1.0.1g不易受攻击
• OpenSSL 1.0.0分支不易受攻击
• OpenSSL 0.9.8分支不易受攻击