受 Heartbleed 攻击影响的 Windows Server 2012 R2 和 IIS? [关闭]
Posted
技术标签:
【中文标题】受 Heartbleed 攻击影响的 Windows Server 2012 R2 和 IIS? [关闭]【英文标题】:Windows Server 2012 R2 and IIS affected by Heartbleed exploit? [closed] 【发布时间】:2014-05-21 20:12:00 【问题描述】:“OpenSSL 1.01 — 受影响的一个生产版本 — 自 2012 年 3 月 12 日起发货"
这是否意味着我们一个月前订购的 Windows 2012 R2 服务器现在在 IIS 中运行 HTTPS 站点容易受到 Heartbleed 攻击?
我读过一篇帖子,建议通过使用此站点 http://filippo.io/Heartbleed/ 检查您的服务器是否易受攻击,但它现在可能会受到大量点击,因为它没有响应。
【问题讨论】:
这取决于微软在构建 IIS 时是否使用了 OpenSSL,不是吗?并不是说 M$ 自己的内部 ssl 代码不会有类似的问题,但仅仅因为 OpenSSL 易受攻击并不意味着所有 ssl 服务器现在都易受攻击.. 只是那些构建/使用受影响的 openssl 版本的服务器。 我希望我能回答你的问题。不幸的是,我没有必要的经验……因为我不熟悉 IIS 的构建方式、操作系统的配置方式或 OpenSSL 的工作方式。既然如此,我的任务仍然是确定是否易受攻击。关于我们的漏洞级别,我是否可以提供任何其他信息来提示某人? @adam OpenSSL!=
SSL,它只是 SSL 和 TLS 技术的(开源)实现。正如 MarcB 所说,OpenSSL 许可证要求在产品中包含它时对其进行命名。 IIS 使用 SSL 的内部实现。
@adam 哎呀!刚刚意识到我评论了IIS does not use SSL
。我的意思是说它不使用 OpenSSL。
这个问题似乎离题了,因为它是关于软件版本、管理和补丁的。服务器故障有很多关于这个主题的问题:serverfault.com/questions/tagged/heartbleed。
【参考方案1】:
IIS 不易受到攻击,因为它不使用 OpenSSL 库
更新,引用 Troy Hunt:
并非所有的 Web 服务器都依赖于 OpenSSL。例如,IIS 使用 Microsoft 的 SChannel 实现,它不会存在此错误的风险。这是否意味着 IIS 上的站点不会受到 Heartbleed 的攻击?在大多数情况下,是的,但不要太自大,因为 OpenSSL 可能仍然存在于服务器场中。
更多信息在这里 - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新 2:
关于 IIS 和 Heartbleed 的 Microsoft 博文:http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
【讨论】:
非常感谢您的澄清,这是我需要知道的。 不错。正是我需要的。安全马蜂窝被踢了! +1!这是我发表评论而不是发布答案的结果,呵呵 Tom and admdrew,是否有任何官方文件或来源支持此声明? @Zoomzoom 查看更新的答案。正如 Troy 所提到的,OpenSSL 可能仍然存在于您的服务器场中,例如,如果您正在使用任何负载平衡器或使用 OpenSSL 的内容交付网络......【参考方案2】:我刚刚使用http://filippo.io/Heartbleed/ 扫描了我们在 Win 2008 IIS7 上托管的网站 - SSL 正在 Windows 服务器上直接终止(没有负载平衡设备,中间没有 SSL 卸载) - 它被报告为易受攻击。使用 IIS8 在 Win 2012 上托管的网站的类似测试没有相同的结果(未显示为易受攻击)。
编辑(添加到 MS 论坛的链接): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral
【讨论】:
扫描仪给出了许多误报,正如他们所说的那样。很难认为 OpenSSL 中的错误会以任何方式影响 microsoft 代码(尽管这并不意味着 IIS 在代码的某些部分中不会出现类似问题)。 我想知道是什么安全漏洞导致扫描仪报告误报。我很想知道更多。 这里是测试作者,黄色结果可能意味着安全,但一致的、重复的 VULNERABLE 结果几乎不可能是错误的。见filippo.io/Heartbleed/faq.html#sure @FiloSottile 恭喜所有的宣传,你的名字和测试网站现在出现在世界各地的每个新闻帖子上。让工作机会滚滚而来! :)以上是关于受 Heartbleed 攻击影响的 Windows Server 2012 R2 和 IIS? [关闭]的主要内容,如果未能解决你的问题,请参考以下文章
OpenSSL Heartbleed “心脏滴血”漏洞简单攻击示例
心脏滴血漏洞搭建与复现修复(CVE-2014-0160)OpenSSL Heartbleed漏洞
“黑”掉神经网络:腾讯披露新型AI攻击手法,主流机器学习框架受影响