Vikipedi
Heartbleed, Taşıma Güvenliği Katmanı (TLS) protokolü gerçekleştiriminde geniş biçimde kullanılan, açık kaynak kodlu kriptografi kütüphanesi OpenSSL'de 2014 yılı Nisan ayında tespit edilen bir yazılım hatasıdır. Heartbleed bu TLS için kullanılan OpenSSL örneğinin, istemci ya da sunucu olduğu fark etmeden kötü niyetle kullanılabilir. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir.
OpenSSL in düzeltilmiş bir sürümü 7 Nisan 2014 te yayınlandı ve aynı gün Heartbleed hatası halka duyuruldu.
Heartbleed çalışması: SSL bağlantısı için ilk olarak sunucunun çalışıp çalışmadığını kontrol eden paket gönderirilir. Cevap gelince SSL veri iletişimi başlar. Veri iletişiminde istenen bilgi ve boyutu gönderilmektedir. Bu açığın sebebi: veri boyutunun SSL sunucusu tarafından kontrol edilmemesi istenen kadar veriyi geri göndermesidir. Bu da sunucunun o anda hafızada(RAM'de) bulunan bilgileri göndermesi anlamına gelmektedir. Sunucu hafızasında o anda kullanıcıların şifreleri, sitenin sertifikası olabilir ve saldırgan bu bilgileri kolay bir şekilde alabilir.
Çözümü: OpenSSL istenen bilginin boyutunu kontrol etmeye başlamıştır.
Yapılan incelemeler sonucunda bazı saldırganların yazılım hatasının tespitinden çok önce bu açığı kullanmış olma ihtimalinin yüksek olduğunu göstermektedir. Bloomberg'e konuşan iki muhbirin ifadesine göre ABD Ulusal Güvenlik Dairesi (NSA) bu açıktan haberdardı fakat kamuoyuna açıklamadı. NSA bu iddiayı yalanladı.
Tarihçe[ değiştir]7 Nisan 2014'te, OpenSSL versiyonlarında TLS Heartbeat eklentisinin bellek kullanma ile ilgili ciddi bir yazılım hatası içerdiği duyuruldu. Bu açık ile uygulumanın belleğindeki 64kb veri her heartbeat adı verilen istekle ele geçirilebilir.
=