「的OpenSSL 1.01 - 一個生產版本的影響 - 自2012年3月12日,已經 航運」受Heartbleed漏洞影響的Windows Server 2012 R2和IIS?
請問這(上述)意味着在Windows 2012 R2服務器,我們訂的是一個月前,現在正在運行IIS中的HTTPS站點易受Heartbleed攻擊?
我讀過,如果你的服務器是脆弱的,通過使用本網站http://filippo.io/Heartbleed/該建議檢查後,但它可能採取點擊率,現在,因爲它沒有響應。
IIS是不容易,因爲它不使用OpenSSL庫
更新,報價特洛伊亨特:
並非所有的Web服務器都依賴於OpenSSL的。例如,IIS使用Microsoft的SChannel實現,該實現不存在此錯誤的風險。這是否意味着IIS上的網站不容易受到Heartbleed的攻擊?大多數情況下,是的,但不要太自大,因爲OpenSSL可能仍然存在於服務器羣中。
更多資訊 - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新2:
微軟博客文章IIS和心臟出血漏洞:http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
非常感謝您的澄清,這是我需要知道的。 – adam
不錯。正是我需要的。安全馬蜂窩被踢了! – craigmoliver
+1!這是我得到的評論,並沒有發佈答案,嘿 – admdrew
我只是用http://filippo.io/Heartbleed/掃描網站,我們在Win主機2008 IIS7 - 直接在Windows服務器上終止SSL(兩者之間無負載均衡設備,SSL卸載) - 它被報告爲易受攻擊的。在Win 2012上使用IIS8託管的網站的類似測試沒有得到相同的結果(不顯示爲易受攻擊的)。
掃描儀在他們自己說的時候會給出很多誤報。很難想象OpenSSL中的錯誤會以任何方式影響微軟代碼(儘管這並不意味着IIS在某些代碼部分中不會出現類似的問題)。 –
我不知道什麼安全漏洞使掃描儀報告誤報。我很想知道更多關於此的信息。 – adam
在這裏測試作者,黃色結果可能意味着安全,但是一致的,重複的VULNERABLE結果幾乎不可能是錯誤的。見http://filippo.io/Heartbleed/faq.html#sure – FiloSottile
那將會取決於微軟是否建立IIS的時候,是不是使用OpenSSL的?並不是說M $的內部ssl代碼不會有類似的問題,但僅僅因爲OpenSSL易受攻擊並不意味着所有ssl服務器現在都是脆弱的......只是那些構建/使用受影響的openssl版本的服務器。 –
我希望我能回答你的問題。不幸的是我沒有必要的經驗......因爲我不熟悉如何構建IIS,如何配置操作系統,或者OpenSSL如何工作。既然如此,我的任務仍然是確定是否易受攻擊。是否有任何其他信息可以幫助我們瞭解我們的漏洞級別? – adam
這是你必須要問微軟的東西。但由於openssl許可證要求產品使用它來說明,所以應該很容易在M $網站上發現。 –