Heartbleed (CVE-2014-0160)

Aussi appelé: CVE-2014-0160, Bug heartbeat d'OpenSSL

Lecture hors limites de 2014 dans l'extension heartbeat TLS d'OpenSSL, permettant de lire jusqu'à 64 Ko de mémoire par requête et de fuiter clés, sessions et mots de passe.

Divulgué en avril 2014, Heartbleed (CVE-2014-0160) est un défaut de vérification des bornes dans OpenSSL 1.0.1 à 1.0.1f lors du traitement de messages heartbeat TLS. En envoyant un heartbeat indiquant une charge utile supérieure à celle réellement fournie, l'attaquant fait renvoyer par le serveur l'équivalent en mémoire adjacente — de manière répétée, indétectable, sur TLS standard. Les contenus volés comprenaient typiquement des clés privées RSA, des cookies de session, des identifiants et des courriels de serveurs web, passerelles VPN et équipements embarqués. L'impact a déclenché un effort mondial de correctifs, de rotation de clés et de révocation de certificats. Le correctif est OpenSSL 1.0.1g+, en supposant la compromission et en révoquant clés et sessions.

Exemples

Attaquants récupérant la clé privée TLS d'un SaaS populaire pour déchiffrer du trafic capturé.
Aspiration massive de cookies de session d'utilisateurs authentifiés sur des serveurs vulnérables.

Heartbleed (CVE-2014-0160)

Exemples

Termes liés

Débordement de tampon

Corruption mémoire

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnérabilité activement exploitée (KEV)

Confidentialité persistante (PFS)

Définition

Exemples

Termes liés

Débordement de tampon

Corruption mémoire

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnérabilité activement exploitée (KEV)

Confidentialité persistante (PFS)