<p dir="ltr">Haha. I should read all new messages first. <3 </p>
<div class="gmail_quote">On Apr 12, 2014 3:06 AM, "mancha" <<a href="mailto:mancha1@hush.com">mancha1@hush.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
B Watson <yalhcru@...> writes:<br>
> On 4/12/14, mancha <mancha1@...> wrote:<br>
> > After identifying candidates, we can worry about whether the bundled<br>
> > or statically-linked OpenSSLs are vulnerable or not.<br>
><br>
> Possibly stupid question but I'll ask it anyway. Are clients even<br>
> vulnerable?  Everything I've seen about heartbleed (and I haven't<br>
> really researched in detail either) talks about attacks against<br>
> vulnerable servers... is it possible for a malicious server to exploit<br>
> an unpatched client?<br>
><br>
<br>
Heartbeats are basically pings for [D]TLS and they can originate at<br>
either the client or server. So, yes, clients are "heartbleedable".<br>
<br>
In fact, you can use this python script to set up a listener and point<br>
your favorite OpenSSL-linked clients (e.g. wget, curl, etc.) at it:<br>
<br>
<a href="https://github.com/Lekensteyn/pacemaker" target="_blank">https://github.com/Lekensteyn/pacemaker</a><br>
<br>
--mancha<br>
<br>
_______________________________________________<br>
SlackBuilds-users mailing list<br>
<a href="mailto:SlackBuilds-users@slackbuilds.org">SlackBuilds-users@slackbuilds.org</a><br>
<a href="http://lists.slackbuilds.org/mailman/listinfo/slackbuilds-users" target="_blank">http://lists.slackbuilds.org/mailman/listinfo/slackbuilds-users</a><br>
Archives - <a href="http://lists.slackbuilds.org/pipermail/slackbuilds-users/" target="_blank">http://lists.slackbuilds.org/pipermail/slackbuilds-users/</a><br>
FAQ - <a href="http://slackbuilds.org/faq/" target="_blank">http://slackbuilds.org/faq/</a><br>
<br>
</blockquote></div>