Big, big problema com as versões do Open SSL que têm o bug heartbleed (CVE-2014-0160) – ele está dentro da extensão heartbeat, por isso acabou tendo esse nome, que significa sangramento no coração. Não significa problema apenas entre duas máquinas, porque pode também ser uma conexão entre um cliente e um banco de dados dentro da mesma máquina. Exemplo, para abrir uma conexão no seu MySQL, no seu Oracle e assim por diante. Em outras palavras, não significa que consertar a segurança da conexão HTTP resolve tudo.
O problema é simples de entender e está nesta pequena linha de código, do OpenSSL 1.0.1 até a 1.0.1f (versões não afetadas: OpenSSL 1.0.1g, 0.9.8 e 1.0.0 segundo a TrusSign)
memcpy(bp, pl, payload);
Ela tem quatro partes: uma instrução de cópia, o destino da cópia, a origem da cópia e o tamanho da cópia. Digamos que a origem tem 64K e você declara 64K. Tudo dá certo, o servidor grava os seus 64K na memória dele e devolve os 64K a você.
Mas e se você não enviar nada e declarar 64K?
Bem, nesse caso o servidor não grava nada, mas envia a você 64K de dados que estavam na memória. Simples. Ridiculamente simples. E o que há nesses dados enviados? Pode haver de tudo, e sem criptografia. Imagine o que quiser.
Quem está estudando o assunto se preocupa com a quantidade de Open SSL furados que estão invisíveis nos servidores. É melhor que todos comecem a procurar.
Para teste de conexão já tem um endereço ativo:
http://filippo.io/Heartbleed/