Heartbleed (CVE-2014-0160)

Também conhecido como: CVE-2014-0160, Bug heartbeat do OpenSSL

Leitura fora de limites de 2014 na extensão heartbeat de TLS do OpenSSL, que permitia ler até 64 KB de memória por pedido, vazando chaves, sessões e palavras-passe.

Divulgado em abril de 2014, o Heartbleed (CVE-2014-0160) é uma ausência de verificação de limites no OpenSSL 1.0.1 a 1.0.1f ao processar mensagens heartbeat de TLS. Enviando um heartbeat que declara um payload maior do que o real, o atacante leva o servidor a devolver memória adjacente nesse tamanho — de forma repetida, indetectável, sobre TLS normal. Os conteúdos vazados costumavam incluir chaves privadas RSA, cookies de sessão, credenciais e conteúdo de e-mails em servidores web, gateways VPN e dispositivos embarcados. O impacto provocou patching, rotação de chaves e revogação de certificados a nível global. A correção é o OpenSSL 1.0.1g+, assumindo compromisso e renovando chaves e sessões.

Exemplos

Atacantes a obter a chave privada TLS de um SaaS popular para decifrar tráfego capturado.
Recolha massiva de cookies de sessão de utilizadores autenticados em servidores vulneráveis.

Heartbleed (CVE-2014-0160)

Exemplos

Termos relacionados

Buffer overflow

Corrupção de memória

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnerabilidade explorada conhecida (KEV)

Sigilo encaminhado perfeito

Definição

Exemplos

Termos relacionados

Buffer overflow

Corrupção de memória

TLS (Transport Layer Security)

CVE (Common Vulnerabilities and Exposures)

Vulnerabilidade explorada conhecida (KEV)

Sigilo encaminhado perfeito