Heartbleed có ảnh hưởng đến AWS Elastic Load Balancer không?


19

Lỗ hổng HeartSSed OpenSSL ( http://heartbleed.com/ ) ảnh hưởng đến OpenSSL 1.0.1 đến 1.0.1f (đã bao gồm)

Tôi sử dụng Amazon Elastic Load Balancer để chấm dứt các kết nối SSL của mình. ELB có dễ bị tổn thương không?


Tôi đã cố gắng để có được một câu trả lời thẳng cho câu hỏi này bản thân mình. Bài đăng trên diễn đàn này ngụ ý là có , nhưng nó không phải từ một nguồn chính thức nên tôi không chắc là mình tin tưởng được bao xa (ngoại trừ khi nghi ngờ tôi sẽ nghiêng về việc giả định bị xâm phạm an toàn).
voretaq7

Có mã POC nào có sẵn để khai thác điều này để chúng tôi không phải chờ đợi / tin tưởng phản hồi của nhà cung cấp không?
Đánh dấu Wagner

http://possible.lv/tools/hb/ sẽ kiểm tra xem nhịp tim có được bật hay không, nhưng không thể phát hiện sự khác biệt giữa các phiên bản được vá và chưa được vá. http://filippo.io/Heartbleed/ tuyên bố là một POC thực sự và nó dường như hoạt động cho trường hợp của tôi, nhưng máy chủ của nó bị sập và tác giả đã không đăng nguồn.
cá hòa tan

1
filippo.io hiện đã đăng một liên kết "fork me on github" trên trang - github.com/FiloSottile/Heartbleed
Ben Walding

Câu trả lời:


32

Cập nhật 09/04/2014 1:00 SA EST

Amazon đã tuyên bố rằng tất cả các Cân bằng tải đàn hồi đã được cập nhật và giờ đây dễ bị tổn thương hơn. Họ đề nghị quay certs là tốt.

Cập nhật 08/04/2014 2:56 PM CST

Amazon đã tuyên bố rằng tất cả các Cân bằng tải đàn hồi trừ những người trong US-EAST-1 đã được cập nhật và phần lớn những người trong US-EAST-1 đã được cập nhật.

Cập nhật 08/04/2014 9:58 PM PST

Amazon đã xác nhận rằng điều này ảnh hưởng đến nền tảng ELB và hiện đang làm việc để giảm thiểu việc khai thác. Xem liên kết dưới đây để trả lời chính thức.


Vâng, đúng vậy. nhiều khả năng . Một số người đã tuyên bố rằng họ đã nhận được phản hồi từ Amazon rằng ELB bị ảnh hưởng bởi vấn đề này. Thành thật mà nói, hầu hết các ứng dụng SSL đều bị ảnh hưởng bởi điều này với ngoại lệ đáng chú ý là Cloudflare, người dường như đã nhận được cảnh báo sớm.

Bằng chứng cho thấy như vậy:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Xem thêm:

http://aws.amazon.com/security/security-bONSins/aws-service-updated-to-address-openssl-vulnerability/

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.