問題タブ [heartbleed-bug]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - 有効なハートビート リクエストの作成
私はハートブリード バグ (主にcloudflare チャレンジ) をいじっていましたが、無効なハートビートを作成するのは簡単でした。次のように送信しています。
しかし、この有効なハートビートを送信しようとすると、サーバーが応答しません。
ペイロードの長さを揺らしてみましたが、+1 も -1 も機能しません。実際の長さよりもかなり長い長さでも機能しません。私が間違っていることについてのアイデアはありますか?
興味のある人のための私の完全なコードは次のとおりです(これに基づいています)
編集: @ warren-dew への対応として、これも機能しません:
編集: @warren-dew に応じて、再度調整しましたが、まだ機能しません:
c# - C# で不正な形式の SSL ハートビート リクエストを作成するにはどうすればよいですか?
C# での CloudFlare チャレンジへの回答はまだ見つかっていません。
C# コンソール アプリケーションから特定の URL に SSL ハートビート リクエストを作成して送信するにはどうすればよいですか? ( https://www.cloudflarechallenge.comで動作するはずです)
リクエストの作成をどこから始めればよいかさえわかりません。
次に、.のような使用可能な形式で応答を取得したいと思いますbyte[]。
基本的に、アプリケーションを完了するために必要な方法は次のとおりです。
どんな助けでも大歓迎です!
ssh - ハートブリード バグには新しい SSH 秘密鍵が必要ですか?
この男は言う:
Heartbleed FUD の暴言:新しい SSH 秘密鍵は必要ありません。これは SSLプロトコルにのみ影響します。
私の質問は次のとおりです:ハートブリード バグには新しい SSH 秘密鍵が必要ですか? (または、これは単なる FUD ですか?) [openssl ライブラリのバグのあるバージョンがあったシステムの場合]
apache - Heartbleed でも - 承認は重要ですか?
OK、基本的にハートブリードのバグは、openssl ライブラリがハートビート リクエストの実際のサイズをチェックしておらず、最初のリクエストと同じサイズの応答を維持しようとするメモリ ジャンクを提供する余分なデータで応答していたことです。
Web サイトで認証されたユーザーだけに関係していたのでしょうか、それともそのサービスのアカウントを持たず、パスワードを知らない悪意のあるユーザーが手探りを始める可能性があるのでしょうか? つまり、サービスの実際のユーザーは、他のユーザーよりもこのバグを使用する可能性が高いでしょうか?
openssl - ハートブリード バグの影響を受けるバージョンで CSR を生成するとどうなりますか?
ハートブリード バグを修正するために openssl を更新しましたが、影響を受けるバージョンの openssl で CSR を生成し、それを修正済みバージョンにインストールすると、何か問題が発生しますか?
ubuntu - Heartbleed 後に SSL プロバイダーを取り消すのではなく切り替える
Heartbleed 問題と SSL 証明書について質問があります。Heartbleed について多くの人が、管理者は証明書を取り消して新しい証明書を取得する必要があると言っています。私は Startcom から SSL 証明書を取得しました。私はそれについて非常に怒っていますが、私の質問を知っています: - Startcom から Comodo のような別のプロバイダーに切り替えて、新しい証明書を取得し、サーバー上の証明書を変更することは可能ですか? -古い証明書が取り消されていない場合、古い証明書に問題がある可能性はありますか? - サーバー (Ubuntu 12.04) でこれらの古い証明書を「ブロック」することはできますか?
私の証明書が侵害されたとは思いませんが、これは私にとって深刻な問題です。
アイデアやコメントをお寄せいただきありがとうございます。
c - ハートブリード バグ: ペイロードが配信される前にハートビート リクエストを処理できるのはなぜですか?
まず、私は C プログラマーではなく、OpenSSL コードベースは巨大です。そのため、コードを掘り下げる時間とスキルがあれば、おそらく答えを見つけることができる質問をすることを許してください。
私が知る限り、TLS は TCP 上で実行されます。TCP はストリーム指向であるため、メッセージがいつ配信されたかを知る方法はありません。着信メッセージの長さを事前に把握するか、スキャンする区切り文字を指定する必要があります。
それを念頭に置いて、完全なペイロードを受信する前に、OpenSSL がハートビート リクエストを処理するにはどうすればよいでしょうか?
OpenSSL がペイロードの長さを受信した後、TCP ソケットから読み取った最初のデータ チャンクの処理を開始した場合、OpenSSL は安全でないだけでなく、通常の操作では壊れているように見えます。TCP の最大セグメント サイズは 536 バイトであるため、それより大きいペイロードは複数の TCP セグメントにまたがり、複数のソケット読み取りにまたがる可能性があります。
問題は、OpenSSL がまだ配信されていないメッセージの処理をどのように/なぜ開始できるのかということです。