OpenSSL баг CVE-2014-0160

Уязвимость OpenSSL CVE-2014-0160
Появилась очень опасная уязвимость для большинства серверов, которые используют SSL, она находится в нескольких строках отсутствия проверки в расширении Heartbeat (RFC6520) для протокола TLS/DTLS.

Использовать уязвимость CVE-2014-0160

Суть использования заключается в том что атакующий может раскрывать до 64кб памяти клиента или сервера. Текст на английском:

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Естественно никто вам не даст готовый эксплойт для атаки подобного рода.

Как проверить сайт на наличие уязвимости SSL?

На сайте http://filippo.io/Heartbleed/ введите ваш адрес сервера с портом 443, при успешной атаке вы увидите сообщение «IS VULNERABLE» и кусок байт из памяти сервера в котором будет фраза «YELLOW SUBMARINE».

Код в котором отсутствовала необходимая проверка — https://github.com/openssl/openssl/commit/7e840163c06c7692b796a93e3fa85a93136adbb2