Heartbleed представляет угрозу, которая может подвергнуть уязвимость компьютерной памяти.
Рассмотрим противника с доступом ко всему зашифрованному текстовому вводу и выводу вашего сервера (интернет-провайдер, правительство, узлы локальной сети). Если бы они имели доступ к предыдущей связи HTTPS (вчера, год назад) на вашем сервере и теперь получили доступ к его памяти, смогут ли они расшифровывать прошлые сообщения?
Для полноты (если затронуто таким образом) я процитирую http://heartbleed.com/ :
Что такое утечка первичного ключевого материала и как его восстановить?
Это драгоценности короны, сами ключи шифрования. Утечка секретных ключей позволяет злоумышленнику дешифровать любой прошлый и будущий трафик к защищенным службам и выдавать себя за службу по желанию. Любая защита, предоставляемая шифрованием и подписями в сертификатах X.509, может быть обойдена. Восстановление после этой утечки требует исправления уязвимости, отзыва скомпрометированных ключей, а также переиздания и распространения новых ключей. Даже выполнение всего этого по-прежнему оставляет любой трафик, перехваченный злоумышленником в прошлом, все еще уязвимым для расшифровки. Все это должны сделать владельцы сервисов.
