问题标签 [heartbleed-bug]

我一直在处理 heartbleed 错误（主要是cloudflare 挑战）并且创建无效的心跳很容易，我一直在发送如下：

但是，当我尝试发送这个有效的心跳时，服务器没有响应。

我尝试过调整有效载荷长度，但 +1 或 -1 都不起作用。即使长度明显高于实际长度也不起作用。关于我做错了什么的任何想法？

这是我对任何感兴趣的人的完整代码（它基于此）

编辑：响应@warren-dew，这也不起作用：

编辑：响应@warren-dew，再次调整但仍然不起作用：

我还没有找到任何对 C# 中 CloudFlare 挑战的回应。

我将如何构造 SSL Heartbeat 请求并将其从 C# 控制台应用程序发送到给定的 URL？（应该与https://www.cloudflarechallenge.com合作）

我什至不确定从哪里开始构建请求。

然后，我想以某种可用格式获得响应，例如byte[].

这基本上是我完成申请所需的方法：

任何帮助，将不胜感激！

我了解 PHP 内置的随机函数（rand()、mt_rand()）不是很安全，所以我开始使用 OpenSSL_Random_Psuedo_Bytes。阅读新闻后，我注意到 HeartBleed 错误，以及它是如何由 OpenSSL 引起的。

在 Heartbleed 周围使用它仍然安全吗？对不起，这是一个愚蠢的问题。

它是我正在使用的唯一功能；我没有使用任何其他 OpenSSl 功能。

由于某些版本的 OpenSSL 中存在令人心碎的问题，我需要将我的 OpenSSL 版本更新为 openssl-1.0.1g。是否支持安卓平台？如果是的话，有人可以向我推荐建造程序吗？我无法编译 android 平台的源代码。

任何善意的建议都将受到高度赞赏。

注意：我将为 android-ndk 使用 openssl

这家伙说：

揭穿一些 Heartbleed FUD：您不需要新的 SSH 私钥。这仅影响 SSL协议。

我的问题是：heartbleed bug 是否需要新的 SSH 私钥？（或者这仅仅是 FUD？）[对于具有错误版本的 openssl 库的系统]

好的，本质上，heartbleed 错误是 openssl 库没有检查心跳请求的实际大小，而是以额外的数据进行响应，给出了一些内存垃圾，试图保持其答案与初始请求的大小相同。

它是否仅与在网站上获得授权的用户有关，或者任何在该服务上没有帐户且不知道密码的恶意用户可能会开始摸索？换句话说，服务的实际用户是否比其他用户更可能使用此错误？

我已经更新了 openssl 以修复 heartbleed-bug，但是如果我再次使用受影响的 openssl 版本生成 CSR 并将其安装在固定版本上，这会导致任何问题吗？

我对 Heartbleed 问题和 SSL 证书有疑问。关于 Heartbleed 很多人说管理员应该撤销他们的证书并获得新的证书。我从 Startcom 获得了我的 SSL 证书，您可能知道他们会收取撤销费用。我对此非常生气，但知道我的问题： - 是否可以从 Startcom 切换到 Comodo 等其他提供商，获取新证书并更改我服务器上的证书？- 如果没有被撤销，旧证书会不会有任何问题？- 是否可以在我的服务器（Ubuntu 12.04）上“阻止”这些旧证书？

我认为我的证书没有受到损害，但这对我来说是一个严肃的话题。

提前感谢您的想法和评论。

Rails 开发人员是否需要基于 OpenSSL Heartbleed 漏洞进行任何特殊更改或考虑？

是否有任何核心 Rails 库依赖于受影响的 OpenSSL 版本？

首先，我不是 C 程序员，而且 OpenSSL 代码库很大，所以请原谅我提出一个我可能会找到答案的问题，因为我有时间和技能来挖掘代码。

据我所知，TLS 在 TCP 上运行。TCP 是面向流的，因此无法知道消息何时被传递。您必须提前知道传入消息应该多长时间或有一个分隔符来扫描。

考虑到这一点，OpenSSL 如何在收到完整有效负载之前处理心跳请求？

如果 OpenSSL 在收到有效载荷长度后才开始处理它从 TCP 套接字读取的第一块数据，那么 OpenSSL 似乎不仅不安全，而且在正常操作下会损坏。由于 TCP 的最大段大小为 536 字节，因此任何大于该大小的有效负载都将跨越多个 TCP 段，因此可能跨越多个套接字读取。

所以问题是：OpenSSL 如何/为什么可以开始处理尚未传递的消息？