क्या हार्दिक AWS इलास्टिक लोड बैलेंसर को प्रभावित करता है?


19

हार्टलेस ओपनएसएसएल भेद्यता ( http://heartbleed.com/ ) 1.0.1f (समावेशी) के माध्यम से ओपनएसएसएल 1.0.1 को प्रभावित करता है

मैं अपने SSL कनेक्शन को समाप्त करने के लिए Amazon Elastic Load Balancer का उपयोग करता हूँ। क्या ईएलबी असुरक्षित है?


मैं खुद इस पर सीधा जवाब पाने की कोशिश कर रहा हूं। यह मंच पोस्ट हाँ का अर्थ है , लेकिन यह एक आधिकारिक स्रोत तो मुझे यकीन है कि कितनी दूर मैं यह भरोसा (कि जब संदेह में मैं सुरक्षित से अधिक के साथ छेड़छाड़ की यह मानते हुए कि की ओर झुक था छोड़कर) नहीं कर रहा हूँ से नहीं है।
voretaq7

क्या इसका दोहन करने के लिए कोई POC कोड उपलब्ध है, इसलिए हमें विक्रेताओं की प्रतिक्रियाओं का इंतजार नहीं करना है?
मार्क वैगनर

http://possible.lv/tools/hb/ जाँच करेगा कि क्या दिल की धड़कन सक्षम है, लेकिन पैच और अनपैक्ड संस्करणों के बीच अंतर का पता नहीं लगा सकते। http://filippo.io/Heartbleed/ एक वास्तविक POC होने का दावा करता है, और यह मेरे मामले के लिए काम करता है, लेकिन इसके सर्वर को स्लैम किया गया है और लेखक ने स्रोत पोस्ट नहीं किया है।
घुलनशील मछली

1
filippo.io ने अब पेज पर "fork me on github" लिंक पोस्ट किया है - github.com/FiloSottile/Heartbleed
Ben Walding

जवाबों:


32

अपडेट 09/04/2014 1:00 पूर्वाह्न ईएसटी

अमेज़ॅन ने कहा है कि सभी इलास्टिक लोड बैलेंसर अपडेट किए गए हैं और अब कमजोर हैं। वे रोटेटिंग सेर्ट्स की भी सलाह देते हैं।

अपडेट 08/04/2014 2:56 PM सीएसटी

अमेज़न ने कहा है कि US-EAST-1 को छोड़कर सभी इलास्टिक लोड Balancers को अपडेट किया गया है, और US-EAST-1 में अधिकांश लोगों को अपडेट किया गया है।

अपडेट 08/04/2014 9:58 बजे पीएसटी

अमेज़ॅन ने पुष्टि की है कि यह ईएलबी प्लेटफ़ॉर्म को प्रभावित करता है और वर्तमान में शोषण को कम करने के लिए काम कर रहा है। आधिकारिक प्रतिक्रिया के लिए नीचे दिए गए लिंक को देखें।


हाँ यही है। सबसे अधिक संभावना है । कई लोगों ने कहा है कि उन्हें अमेज़ॅन से प्रतिक्रिया मिली है कि ईएलबी इस मुद्दे से प्रभावित है। फ्रेंकली अधिकांश एसएसएल एप्लिकेशन इससे प्रभावित होते हैं, जो क्लाउडफ्लेयर के उल्लेखनीय अपवाद के साथ हैं, जिन्हें लगता है कि शुरुआती चेतावनी मिल गई है।

साक्ष्य का सुझाव इस प्रकार है:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

यह सभी देखें:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.