Windows Server 2012 R2和IIS是否受到Heartbleed攻击的影响?
“OpenSSL 1.01—受影响的一个生产版本—已被删除 自2012年3月12日起发货” 这(如上)是否意味着我们一个月前订购的Windows 2012 R2服务器,现在在IIS中运行HTTPS站点,容易受到心脏出血攻击Windows Server 2012 R2和IIS是否受到Heartbleed攻击的影响?,iis,ssl,openssl,windows-server-2012,heartbleed-bug,Iis,Ssl,Openssl,Windows Server 2012,Heartbleed Bug,“OpenSSL 1.01—受影响的一个生产版本—已被删除 自2012年3月12日起发货” 这(如上)是否意味着我们一个月前订购的Windows 2012 R2服务器,现在在IIS中运行HTTPS站点,容易受到心脏出血攻击 我读过一篇文章,建议使用此站点检查您的服务器是否有漏洞,但由于没有响应,它现在可能受到大量攻击。IIS没有漏洞,因为它没有使用OpenSSL库 更新,引用特洛伊·亨特的话: 并非所有web服务器都依赖于OpenSSL。例如,IIS使用的是微软的SChannel实现,它没有出
我读过一篇文章,建议使用此站点检查您的服务器是否有漏洞,但由于没有响应,它现在可能受到大量攻击。IIS没有漏洞,因为它没有使用OpenSSL库 更新,引用特洛伊·亨特的话: 并非所有web服务器都依赖于OpenSSL。例如,IIS使用的是微软的SChannel实现,它没有出现此错误的风险。这是否意味着IIS上的站点不易受到Heartbleed攻击?在大多数情况下,是的,但不要太骄傲,因为OpenSSL可能仍然存在于服务器场中 更多信息请点击这里- 更新2: Microsoft关于IIS和Heartbleed的博文:我刚刚扫描了我们在Win 2008 IIS7上托管的一个网站-SSL将直接在windows服务器上终止(没有负载平衡设备,SSL卸载介于两者之间)-它被报告为易受攻击。对Win 2012上使用IIS8托管的网站进行的类似测试没有相同的结果(不显示为易受攻击) 编辑(添加到MS论坛的链接):
这取决于microsoft在构建IIS时是否使用OpenSSL,不是吗?并不是说M$自己的内部ssl代码不会有类似的问题,但仅仅因为OpenSSL易受攻击并不意味着所有ssl服务器现在都易受攻击。。我希望我能回答你的问题。不幸的是我没有必要的经验。。。因为我不熟悉IIS是如何构建的,操作系统是如何配置的,或者OpenSSL是如何工作的。在这种情况下,我的任务仍然是弄清楚我们是否易受攻击。关于我们的漏洞级别,我是否可以提供任何其他信息来提示其他人?@adam OpenSSL
=SSL,它只是SSL和TLS技术的(开源)实现。正如MarcB所说,OpenSSL许可证要求在产品中包含时对其进行命名。IIS使用SSL的内部实现。@adam哎呀!刚刚意识到我评论了IIS不使用SSL。我的意思是说它不使用OpenSSL。这个问题似乎离题了,因为它涉及到软件版本、管理和修补。服务器故障在这个主题上有很多问题:。扫描仪会给出很多误报,就像他们自己说的那样。很难想象OpenSSL中的漏洞会以任何方式影响microsoft代码(尽管这并不意味着IIS在代码的某些部分不会有类似的问题)。我想知道是什么安全漏洞导致扫描程序报告为假阳性。我很想知道更多关于这方面的信息。测试作者在这里,黄色的结果可能意味着安全,但一致的、重复的易受攻击的结果几乎不可能是错误。看到@FiloSottile祝贺所有的宣传,你的名字和测试网站现在在世界各地的每一个新闻帖子上。让工作机会滚滚而来!:)非常感谢您的澄清,这是我需要知道的。很好。正是我需要的。安全大黄蜂巢被踢了+1.heheTom和Admdew,这就是我发表评论而不发布答案的结果。是否有任何官方文件或来源支持这一说法?@Zoomzoom请参阅更新的答案。正如Troy提到的,OpenSSL可能仍然存在于您的服务器场中,例如,如果您正在使用任何使用OpenSSL的负载平衡器或内容交付网络。。。