Heartbleed influenza il bilanciamento del carico elastico AWS?


19

La vulnerabilità di Heartbleed OpenSSL ( http://heartbleed.com/ ) riguarda OpenSSL da 1.0.1 a 1.0.1f (incluso)

Uso Amazon Elastic Load Balancer per terminare le mie connessioni SSL. ELB è vulnerabile?


Ho cercato di ottenere una risposta diretta a questo me stesso. Questo post sul forum implica sì , ma non proviene da una fonte ufficiale, quindi non sono sicuro di quanto mi fidi (tranne che, in caso di dubbio, mi spingerei ad assumere un compromesso rispetto alla sicurezza).
voretaq7,

Esiste un codice POC disponibile per sfruttarlo in modo da non dover attendere / fidarsi delle risposte dei fornitori?
Mark Wagner,

http://possible.lv/tools/hb/ verificherà se il battito cardiaco è abilitato, ma non è in grado di rilevare la differenza tra le versioni con patch e senza patch. http://filippo.io/Heartbleed/ afferma di essere un vero POC e sembra funzionare per il mio caso, ma il suo server è bloccato e l'autore non ha pubblicato la fonte.
pesce solubile

1
filippo.io ha ora pubblicato un link "fork me on github" sulla pagina - github.com/FiloSottile/Heartbleed
Ben Walding

Risposte:


32

Aggiornamento 09/04/2014 01:00 EST

Amazon ha dichiarato che tutti i bilanciatori di carico elastici sono stati aggiornati e sono ora più vulnerabili. Raccomandano anche la rotazione dei certs.

Aggiornamento 08/04/2014 14:56 CST

Amazon ha dichiarato che tutti i sistemi di bilanciamento del carico elastici, ad eccezione di quelli in US-EAST-1, sono stati aggiornati e la stragrande maggioranza di quelli in US-EAST-1 è stata aggiornata.

Aggiornamento 08/04/2014 alle 21:58 PST

Amazon ha confermato che ciò influisce sulla piattaforma ELB e sta attualmente lavorando per mitigare l'exploit. Vedi il link qui sotto per la risposta ufficiale.


Sì. molto probabilmente . Diverse persone hanno dichiarato di aver ricevuto risposte da Amazon che ELB è interessato da questo problema. Francamente la maggior parte delle applicazioni SSL sono interessate da questo, con la notevole eccezione di Cloudflare che sembra aver ricevuto un avviso tempestivo.

Prove che suggeriscono come tali:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Guarda anche:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.