Frage Beeinflusst Heartbleed AWS Elastic Load Balancer?


Die Heartbleed OpenSSL-Schwachstelle (http://heartbleed.com/) betrifft OpenSSL 1.0.1 bis 1.0.1f (inklusive)

Ich verwende Amazon Elastic Load Balancer, um meine SSL-Verbindungen zu beenden. Ist ELB anfällig?


18
2018-04-08 01:31


Ursprung


Ich habe versucht, eine direkte Antwort auf diese Frage zu bekommen. Dieser Forenbeitrag impliziert ja, aber es ist nicht von einer offiziellen Quelle, also bin ich mir nicht sicher, wie weit ich es vertraue (außer dass ich im Zweifelsfall mich dazu verleiten würde, kompromittiert über sicher zu gehen). - voretaq7
Gibt es einen POC-Code, um diesen zu nutzen, damit wir nicht auf die Antworten der Hersteller warten müssen? - Mark Wagner
http://possible.lv/tools/hb/ überprüft, ob Heartbeat aktiviert ist, kann aber den Unterschied zwischen gepatchten und nicht gepatchten Versionen nicht erkennen. http://filippo.io/Heartbleed/ behauptet, ein echter POC zu sein, und es schien für meinen Fall zu funktionieren, aber sein Server ist geknallt und der Autor hat keine Quelle gepostet. - solublefish
filippo.io hat jetzt einen "fork me on github" -Link auf der Seite gepostet - github.com/FiloSottile/Heartbleed - Ben Walding


Antworten:


Update 09.04.2014 01:00 Uhr EST

Amazon hat es gesagt dass alle Elastic Load Balancer aktualisiert wurden und länger anfällig sind. Sie empfehlen auch rotierende Zertifikate.

Update 08.04.2014 14:56 CST

Amazon hat es gesagt dass alle Elastic Load Balancer außer diese in US-EAST-1 wurden aktualisiert, und die große Mehrheit derjenigen in US-EAST-1 wurde aktualisiert.

Update 08/04/2014 9:58 PM PST

Amazon hat bestätigt, dass dies Auswirkungen auf die ELB-Plattform hat und arbeitet derzeit daran, den Exploit abzuschwächen. Siehe den Link unten für die offizielle Antwort.


Ja, so ist es. höchstwahrscheinlich. Mehrere Personen haben angegeben, dass sie Antworten von Amazon erhalten haben, dass ELB von diesem Problem betroffen ist. Offenbar sind die meisten SSL-Anwendungen davon betroffen, mit Ausnahme von Cloudflare, die anscheinend frühzeitig gewarnt wurde.

Beweise, die als solche vorschlagen:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Siehe auch:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/


31
2018-04-08 01:34