Heartbleed z perspektywy aplikacji klienckich

Data publikacji: 18/04/2014, CERT Polska

heartbleed-iconW ubiegłym tygodniu wiadomości o tematyce bezpieczeństwa zdominowały doniesienia o luce w bibliotece OpenSSL (CVE-2014-0160). O tym, jak wygląda problem z perspektywy polskich serwerów pisaliśmy poprzednio na naszym blogu. Warto jednak zauważyć, iż biblioteka OpenSSL jest wykorzystywana nie tylko w oprogramowaniu serwerowym. Jest ona również bardzo często elementem oprogramowania klienckiego.

Co to oznacza? Jeżeli klienckie oprogramowanie używające podatnej wersji OpenSSL połączy się ze spreparowanym złośliwym serwerem, serwer może ‚pobrać’ z pamięci klienta porcję danych. Taka porcja może zawierać dane na których operuje oprogramowanie, np: hasła do baz danych czy też konfigurację.

Aby uprościć testowanie aplikacji klienckich CERT Polska przygotował serwis umożliwiający przetestowanie dowolnego klienckiego oprogramowania korzystającego z SSL – od przeglądarek internetowych po konsolowe aplikacje.

Czy Twoja aplikacja jest podatna na lukę heartbleed?

http://www.cert.pl/heartbleed/Heartbleed: test oprogramowania klienckiego