Vulnerabilidade Heartbleed quando SSL é fornecido por servidores não afetados?

2

* Gostaria de perguntar sobre dois cenários em que uma versão vulnerável do OpenSSL está instalada em um servidor, mas esse servidor não está fornecendo serviços SSL.

Cenário 1: tenho um certificado SSL instalado em um balanceador de carga, atrás do qual fica um farm de servidores IIS. O IIS não é afetado pelo Heartbleed e a porta 443 é desligada lá. Mas descobrimos que o balanceador de carga é vulnerável. Quais aspectos do Heartbleed nos impactarão?

Cenário 2: nesse cenário, o balanceador de carga NÃO é vulnerável. Novamente, o balanceador de carga tem o certificado instalado. Mas, por trás disso, há um farm de servidores rodando PHP, com uma versão vulnerável do OpenSSL instalada e ativada - possivelmente porque outra extensão requer ou alguém o habilitou sem pensar. A porta 443 é desligada nesses servidores também. Quais aspectos do Heartbleed nos impactarão?

Com base em meu entendimento, no Cenário 1, nossas chaves e dados que passam pela rede de entrada / saída dos servidores correm o risco de serem interceptados. No entanto, o conteúdo da memória do servidor da aplicação IIS não corre o risco de ser exposto.

Mais uma vez, com base no meu entendimento, o que pode estar errado, no Cenário 2, não há risco.

Alguém pode verificar ou corrigir minhas suposições?

    
por Brian Colavito 10.04.2014 / 17:57

1 resposta

6

O Heartbleed permite que a memória seja exposta do servidor no qual [uma versão vulnerável do] OpenSSL está em execução, durante uma conexão TLS. Assim, para que o heartbleed seja explorável, um servidor deve estar executando uma versão vulnerável do OpenSSL AND para aceitar conexões TLS.

Portanto, no cenário 1, você corre o risco de ter a memória do balanceador de carga sendo exposta, pois é o servidor que está executando o OpenSSL.

No cenário 2, supondo que seu cenário esteja configurado de forma que uma conexão TLS não possa ser feita nesses servidores, nada é vulnerável. Não é possível estabelecer uma conexão TLS, portanto, as versões vulneráveis do OpenSSL não podem ser exploradas.

    
por 10.04.2014 / 18:05