Heartbleed AWS Elastik Yük Dengeleyiciyi etkiler mi?


19

Heartbleed OpenSSL güvenlik açığı ( http://heartbleed.com/ ) OpenSSL 1.0.1 - 1.0.1f'yi (dahil) etkiler

SSL bağlantılarımı sonlandırmak için Amazon Elastik Yük Dengeleyicisini kullanıyorum. ELB savunmasız mı?


Bu soruya kendim doğrudan cevap vermeye çalışıyordum. Bu forum gönderisi evet anlamına gelir , ancak resmi bir kaynaktan değil, bu yüzden ne kadar güvendiğime emin değilim (şüphe duyduğumda güvenliğin üzerinde uzlaşmaya varmaya eğilimliyim hariç).
voretaq7

Satıcıların yanıtlarını beklemek / güvenmek zorunda kalmamak için bundan faydalanmak için herhangi bir POC kodu var mı?
Mark Wagner

http://possible.lv/tools/hb/ , kalp atışının etkin olup olmadığını kontrol eder, ancak yamalı ve toplu olmayan sürümler arasındaki farkı tespit edemez. http://filippo.io/Heartbleed/ gerçek bir POC olduğunu iddia ediyor ve benim durumum için çalışıyor gibi görünüyordu, ancak sunucusu çarptı ve yazar kaynak göndermedi.
çözünür balık

1
filippo.io artık sayfada "github üzerinde bana çatal" bağlantısı gönderdi
Ben Walding

Yanıtlar:


32

Güncelleme 09/04/2014 01:00 EST

Amazon, tüm Elastik Yük Dengeleyicilerinin güncellendiğini ve artık daha savunmasız olduklarını belirtti. Ayrıca dönen certs tavsiye ediyoruz.

Güncelleme 08/04/2014 14:56 CST

Amazon, US-EAST-1 dışındaki tüm Elastik Yük Dengeleyicilerinin güncellendiğini ve US-EAST-1'deki kişilerin büyük çoğunluğunun güncellendiğini belirtti.

Güncelleme 08/04/2014 21:58 PST

Amazon, bunun ELB platformunu etkilediğini ve şu anda istismarın hafifletilmesi için çalıştığını doğruladı. Resmi yanıt için aşağıdaki bağlantıya bakın.


Evet öyle. büyük olasılıkla . Birkaç kişi, Amazon'dan ELB'nin bu sorundan etkilendiğine dair yanıtlar aldıklarını belirtti. Açıkçası çoğu SSL uygulaması, erken uyarı almış gibi göze çarpan Cloudflare hariç, bundan etkilenir.

Kanıt aşağıdaki gibi:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Ayrıca bakınız:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.