Heartbleed (CVE-2014-0160)

También conocido como: CVE-2014-0160, Bug heartbeat de OpenSSL

Lectura excesiva de buffer de 2014 en la extensión heartbeat de TLS de OpenSSL que permitía leer hasta 64 KB de memoria por petición, filtrando claves, sesiones y contraseñas.

Divulgado en abril de 2014, Heartbleed (CVE-2014-0160) es una falta de comprobación de límites en OpenSSL 1.0.1 a 1.0.1f al procesar mensajes heartbeat de TLS. Enviando un heartbeat que declara un payload mayor que el real, el atacante hacía que el servidor devolviese esa cantidad de memoria adyacente, repetidamente, sin dejar rastro, sobre TLS legítimo. Los contenidos robados solían incluir claves privadas RSA, cookies de sesión, credenciales y correos de servidores web, gateways VPN y dispositivos embebidos. El impacto desencadenó parcheo masivo, rotación de claves y revocación de certificados a nivel mundial. La corrección es OpenSSL 1.0.1g o posterior, asumiendo compromiso y rotando claves y sesiones.

Ejemplos

Atacantes que extraen la clave privada TLS de un SaaS conocido para descifrar tráfico capturado.
Recolección masiva de cookies de sesión de usuarios autenticados en servidores vulnerables.

Heartbleed (CVE-2014-0160)

Ejemplos

Términos relacionados

Desbordamiento de búfer

Corrupción de memoria

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnerabilidad explotada conocida (KEV)

Confidencialidad directa perfecta

Definición

Ejemplos

Términos relacionados

Desbordamiento de búfer

Corrupción de memoria

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnerabilidad explotada conocida (KEV)

Confidencialidad directa perfecta