1. casa
  2. Domanda e risposta
  3. Windows Server 2012 R2 e IIS interessati dall'exploit Heartbleed?

Windows Server 2012 R2 e IIS interessati dall'exploit Heartbleed?

2014-04-08 10 views
46

"OpenSSL 1.01 - la versione di una produzione in cui - era stato il trasporto dal 12 marzo 2012"Windows Server 2012 R2 e IIS interessati dall'exploit Heartbleed?

Questo (sopra) significa che un server Windows 2012 R2 abbiamo ordinato un mese fa, ora in esecuzione I siti HTTPS in IIS sono vulnerabili agli attacchi Heartbleed?

Ho letto un post che suggerisce verificando se il server è vulnerabile, utilizzando questo sito http://filippo.io/Heartbleed/, ma probabilmente è di prendere un sacco di colpi in questo momento, in quanto non risponde.

fonte

2014-04-08 adam

+1

che sarebbe dipendono da se Microsoft ha utilizzato OpenSSL per la costruzione di IIS, non è vero? Per non dire che il codice ssl interno di M $ non potrebbe avere problemi simili, ma solo perché OpenSSL è vulnerabile non significa che TUTTI i server ssl siano ora vulnerabili .. solo quelli creati/utilizzando le versioni di openssl interessate. –

+0

Vorrei poter rispondere alla tua domanda. Sfortunatamente non ho l'esperienza necessaria ... perché non conosco il modo in cui IIS è stato creato, come sono configurati i sistemi operativi o come funziona OpenSSL. Essendo questo il caso, mi è stato ancora chiesto di capire se fossero vulnerabili. C'è qualche altra informazione che potrei fornire che indicherebbe qualcuno, per quanto riguarda il nostro livello di vulnerabilità? – adam

+0

questo è qualcosa che dovrai chiedere a Microsoft. ma dal momento che la licenza openssl richiede prodotti che lo usano per dirlo, dovrebbe essere facilmente individuabile sul sito web M $. –

risposta

94

IIS non è vulnerabile in quanto non utilizza la libreria OpenSSL

Update, citazione Troy Hunt:

Non tutti i server web sono dipendenti OpenSSL. IIS, ad esempio, utilizza l'implementazione SChannel di Microsoft che non è a rischio di questo bug. Ciò significa che i siti su IIS non sono vulnerabili a Heartbleed? Per la maggior parte, sì, ma non diventare troppo arrogante perché OpenSSL potrebbe essere ancora presente all'interno della server farm.

Maggiori informazioni qui - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

Aggiornamento 2:

Microsoft blog post su IIS e heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx

fonte

2014-04-09 00:27:28

+1

Grazie mille per il chiarimento, questo è quello che dovevo sapere. – adam

+0

Bello. Esattamente quello di cui avevo bisogno. Il nido di calabroni di sicurezza è stato calciato! – craigmoliver

+5

+1! Questo è quello che ottengo per commentare e non pubblicare una risposta, hehe – admdrew

7

ho appena usato http://filippo.io/Heartbleed/ per la scansione di un sito web ospitiamo su Win 2008 IIS7 - Il protocollo SSL viene terminato direttamente sul server Windows (nessun dispositivo di bilanciamento del carico con offloading SSL intermedio) - viene segnalato come vulnerabile. Test simili di siti Web ospitati su Win 2012 con IIS8 non hanno lo stesso risultato (non sono visibili come vulnerabili).

Edit (link aggiunto a MS forum): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral

fonte

2014-04-09 03:58:01 Matthew

+4

Lo scanner dà molti falsi positivi come dicono loro stessi. È difficile pensare che il bug in OpenSSL possa influenzare in qualche modo il codice Microsoft (sebbene ciò non significhi che IIS non possa avere problemi simili in alcune parti del codice). –

+2

Mi chiedo quale foro di sicurezza rende lo scanner un falso positivo. Sarei curioso di saperne di più su questo. – adam

+6

Autore del test qui, un risultato giallo potrebbe significare sicuro, ma un risultato VULNERABLE coerente e ripetuto è quasi impossibile essere un errore. Vedi http://filippo.io/Heartbleed/faq.html#sure – FiloSottile

 Problemi correlati

  • Nessun problema correlato^_^