wake-up-neo.com

Windows Server 2012 R2 und IIS vom Heartbleed-Exploit betroffen?

"OpenSSL 1.01 - die eine betroffene Produktionsversion - wurde seit dem 12. März 2012 ausgeliefert."

Bedeutet dies (oben), dass ein Windows 2012 R2-Server, den wir vor einem Monat bestellt haben und der jetzt HTTPS-Sites in IIS ausführt, für Heartbleed-Angriffe anfällig ist?


Ich habe einen Beitrag gelesen, in dem vorgeschlagen wird, mithilfe dieser Website zu überprüfen, ob Ihr Server verwundbar ist http://filippo.io/Heartbleed/ , aber derzeit werden wahrscheinlich eine Menge Treffer verzeichnet, da dies der Fall ist reagiert nicht.

46
adam

IIS ist nicht anfällig, da es die OpenSSL-Bibliothek nicht verwendet

Update, zitiere Troy Hunt:

Nicht alle Webserver sind von OpenSSL abhängig. IIS verwendet beispielsweise die SChannel-Implementierung von Microsoft, für die dieses Problem nicht besteht. Bedeutet das, dass Sites auf IIS sind nicht anfällig für Heartbleed? Meistens ja, aber nicht zu übermütig, da OpenSSL möglicherweise noch in der Serverfarm vorhanden ist.

Weitere Informationen finden Sie hier - http://www.troyhunt.com/2014/04/alles, was Sie wissen müssen.html

Update 2:

Microsoft-Blogbeitrag zu IIS und Heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and -iis.aspx

94
Tom Hall

Ich habe gerade http://filippo.io/Heartbleed/ verwendet, um eine Website zu scannen, die wir unter Win 2008 IIS7 hosten. SSL wird direkt auf dem Windows-Server beendet (kein Lastausgleichsgerät mit SSL-Abladung) dazwischen) - es wird als anfällig gemeldet. Ähnliche Tests von Websites, die auf Win 2012 mit IIS8 gehostet werden, haben nicht dasselbe Ergebnis (wird nicht als anfällig angezeigt).

Bearbeiten (Link zum MS-Forum hinzugefügt): http://social.technet.Microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral =

7
Matthew