Heartbleed是否会影响AWS Elastic Load Balancer?

19

Heartbleed OpenSSL漏洞(http://heartbleed.com/)影响OpenSSL 1.0.1到1.0.1f(包括1.0.1f)

我使用Amazon Elastic Load Balancer终止我的SSL连接。ELB容易受到攻击吗?

amazon-web-services  openssl  amazon-elb  heartbleed 
秘密麦克
source
我一直在试图自己一个直接的答案。该论坛帖子暗示是,但不是来自官方消息,因此我不确定我对它的信任程度(除非有疑问,我倾向于假设在安全方面受到损害)。
voretaq7
是否有可用的POC代码可用于开发此功能,因此我们不必等待/信任供应商的响应?
Mark Wagner
http://possible.lv/tools/hb/将检查是否启用了心跳,但无法检测到修补和未修补版本之间的差异。http://filippo.io/Heartbleed/声称是一个真正的POC,它似乎可以满足我的要求,但其服务器受到了猛烈攻击,并且作者尚未发布源代码。
可溶性鱼
1
filippo.io现在在页面上发布了“在github上叉我”链接-github.com/FiloSottile/Heartbleed
Ben Walding 2014年

Answers:

32

更新09/04/2014 1:00 AM EST

亚马逊表示,所有弹性负载均衡器均已更新,现在更容易受到攻击。他们还建议旋转证书。

更新08/04/2014 2:56 PM CST

亚马逊表示 US-EAST-1 中的所有弹性负载均衡器,所有弹性负载均衡器均已更新,而US-EAST-1中的绝大多数弹性负载均衡器 均已更新。

PST更新08/04/2014 9:58 PM

亚马逊已经确认这会影响ELB平台,并且目前正在努力减轻这种利用。请参阅下面的链接以获取官方回复。

是的。最有可能的。好几个人说,他们已经从亚马逊得到回应,说ELB受此问题影响。坦率地说,大多数SSL应用程序都受到此影响,但Cloudflare例外,后者似乎已得到预警。

证据表明:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

也可以看看:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

雅各布
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.