Heartbleed affecte-t-il AWS Elastic Load Balancer?


19

La vulnérabilité Heartbleed OpenSSL ( http://heartbleed.com/ ) affecte OpenSSL 1.0.1 à 1.0.1f (inclus)

J'utilise Amazon Elastic Load Balancer pour mettre fin à mes connexions SSL. ELB est-il vulnérable?


J'ai essayé d'obtenir une réponse directe à celle-ci moi-même. Ce message sur le forum implique oui , mais il ne provient pas d'une source officielle, donc je ne sais pas dans quelle mesure je lui fais confiance (sauf qu'en cas de doute, je pencherais pour supposer que le compromis est sécurisé).
voretaq7

Existe-t-il un code POC disponible pour exploiter cela afin que nous n'ayons pas à attendre / faire confiance aux réponses des fournisseurs?
Mark Wagner

http://possible.lv/tools/hb/ vérifiera si le rythme cardiaque est activé, mais ne peut pas détecter la différence entre les versions corrigées et non corrigées. http://filippo.io/Heartbleed/ prétend être un vrai POC, et cela semble fonctionner pour mon cas, mais son serveur est critiqué et l'auteur n'a pas publié de source.
solublefish

1
filippo.io a maintenant publié un lien " Fork
Ben Walding

Réponses:


32

Mise à jour 09/04/2014 1:00 AM EST

Amazon a déclaré que tous les équilibreurs de charge élastiques ont été mis à jour et sont désormais plus vulnérables. Ils recommandent également la rotation des certificats.

Mise à jour 08/04/2014 14:56 CST

Amazon a déclaré que tous les équilibreurs de charge élastiques, à l' exception de ceux de US-EAST-1, ont été mis à jour, et la grande majorité de ceux de US-EAST-1 ont été mis à jour.

Mise à jour 08/04/2014 21:58 PST

Amazon a confirmé que cela affecte la plate-forme ELB et travaille actuellement à atténuer l'exploit. Voir le lien ci-dessous pour la réponse officielle.


Oui, ça l'est. très probablement . Plusieurs personnes ont déclaré avoir reçu des réponses d'Amazon que ELB était affecté par ce problème. Franchement, la plupart des applications SSL en sont affectées, à l'exception notable de Cloudflare qui semble avoir reçu une alerte précoce.

Preuve suggérant en tant que telle:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Voir également:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.