Heartbleed ส่งผลต่อ AWS Elastic Load Balancer หรือไม่?


19

ช่องโหว่ Heartbleed OpenSSL ( http://heartbleed.com/ ) มีผลกับ OpenSSL 1.0.1 ถึง 1.0.1f (รวมอยู่ด้วย)

ฉันใช้ Amazon Elastic Load Balancer เพื่อยุติการเชื่อมต่อ SSL ของฉัน ELB เสี่ยงไหม?


ฉันพยายามหาคำตอบให้กับตัวเอง โพสต์ฟอรัมนี้แสดงถึงใช่แต่ไม่ได้มาจากแหล่งที่เป็นทางการดังนั้นฉันไม่แน่ใจว่าฉันไว้ใจได้ไกลแค่ไหน (ยกเว้นเมื่อมีข้อสงสัยว่า
voretaq7

มีรหัส POC ใด ๆ สำหรับการใช้ประโยชน์จากสิ่งนี้ดังนั้นเราจึงไม่ต้องรอการตอบกลับจากผู้ขายหรือไม่?
Mark Wagner

http://possible.lv/tools/hb/จะตรวจสอบว่า heartbeat ถูกเปิดใช้งานหรือไม่ แต่ไม่สามารถตรวจพบความแตกต่างระหว่างเวอร์ชันที่แพทช์และแพทช์ไม่ได้ http://filippo.io/Heartbleed/อ้างว่าเป็น POC ตัวจริงและดูเหมือนว่าจะใช้งานได้ในกรณีของฉัน แต่เซิร์ฟเวอร์ของมันถูกกระแทกและผู้เขียนไม่ได้โพสต์แหล่งที่มา
solublefish

1
filippo.io ได้โพสต์ลิงก์ "fork me on github" บนหน้า - github.com/FiloSottile/Heartbleed
Ben Walding

คำตอบ:


32

อัปเดตเมื่อวันที่ 09/04/2014 1:00 AM

Amazon ระบุว่า Elastic Load Balancer ทั้งหมดได้รับการอัปเดตแล้วและตอนนี้มีช่องโหว่อีกต่อไป พวกเขาแนะนำให้หมุน certs ด้วย

อัปเดต 08/04/2014 2:56 PM CST

Amazon ระบุว่า Elastic Load Balancer ทั้งหมดยกเว้นที่ได้รับการอัปเดตใน US-EAST-1 และอัปเดตส่วนใหญ่ใน US-EAST-1 แล้ว

อัปเดต 08/04/2014 9:58 PM PST

Amazon ยืนยันว่าสิ่งนี้มีผลกระทบต่อแพลตฟอร์ม ELB และกำลังทำงานเพื่อลดการใช้ประโยชน์ ดูลิงค์ด้านล่างสำหรับคำตอบอย่างเป็นทางการ


ใช่แล้ว. ส่วนใหญ่มีแนวโน้ม หลายคนระบุว่าพวกเขาได้รับคำตอบจาก Amazon ว่า ELB ได้รับผลกระทบจากปัญหานี้ แอปพลิเคชัน SSL ส่วนใหญ่จะได้รับผลกระทบจากสิ่งนี้ด้วยข้อยกเว้นที่เด่นชัดของ Cloudflare ที่ดูเหมือนว่าจะมีการเตือนล่วงหน้า

หลักฐานบ่งชี้ว่าเป็นเช่นนี้:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

ดูสิ่งนี้ด้วย:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.