Ptal jsem se na tento problém podpory mého správce hesel Sticky Password (www.stickypassword.com) a bylo mi sděleno, že pro klid duše bych si měl změnit hesla na svých účtech, které považuji za důležité. Co si o tom myslíte vy?
Principem chyby je nasledujici:
Do protokolu SSL pribyla moznost posilat tzv. heart beat packety. Obdoba pingu. Jedna strana posle druhe strane nejaka data a ocekava, ze ji ta druha posle ty sama data zpatky. To ma kde jaky protokol. Slouzi to k udrzeni spojeni ci overeni dostupnosti druhe strany, mereni rychlosti odpovedi atp.
V OpenSSL je mozne upravenymi vstupnimi parametry v prichozim beat packetu donutit server, aby do odpovedi neposlal co co dostal v pozadavku, ale nejaky jiny kus pameti co patri programu, ktery OpenSSL knihovnu pouziva. Sice jen 64kB, ale utocnik muze ovlivnovat kterou cast a nic mu nebrani vice dotazy precist co se mu kde zlibi.
TIpicky se muze jednat o privatni klice pro sifrovanou komunikaci. A temi se pak nekde vydavat za obet v nejakem utoku, pripadne si rozsifrovat libovolnou zachycenou komunikaci.
Nebo o cokoliv jineho zajimaveho co ma proces v pameti. Zalezi na konkretnim pouziti a architekture programu zda tam mohou byt nejake aplikacni veci i jinych uzivatelu nez je utocnik (hesla do www aplikace, "cisla kreditek" tak podobne).