Bri*_*ito 2 iis php farm heartbleed
*我想问一下在服务器上安装了易受攻击的 OpenSSL 版本,但该服务器不提供 SSL 服务的两种情况。
场景 1:我在负载均衡器上安装了一个 SSL 证书,负载均衡器后面是一个 IIS 服务器群。IIS 不受 Heartbleed 的影响,并且端口 443 在那里关闭。但是我们发现负载均衡器很脆弱。Heartbleed 的哪些方面会影响我们?
场景 2:在此场景中,负载均衡器不易受到攻击。同样,负载平衡器安装了证书。但是,在它后面是一个运行 PHP 的服务器群,安装并启用了一个易受攻击的 OpenSSL 版本——可能是因为另一个扩展需要它,或者有人不假思索地启用了它。这些服务器上的端口 443 也已关闭。Heartbleed 的哪些方面会影响我们?
根据我的理解,在场景 1 中,我们通过线路进出服务器的密钥和数据有被拦截的风险。但是,IIS 应用程序服务器内存的内容不会有暴露的风险。
同样,根据我的理解,这可能是错误的,在场景 2 中,没有风险。
有人可以验证或更正我的假设吗?
Heartbleed 允许在 TLS 连接期间从运行 OpenSSL 的 [一个易受攻击的版本] 的服务器暴露内存。因此,要使 Heartbleed 可被利用,服务器必须同时运行易受攻击的 OpenSSL 版本并接受 TLS 连接。
因此,在场景 1 中,您将面临负载均衡器内存被暴露的风险,因为它是运行 OpenSSL 的服务器。
在场景 2 中,假设您的场景设置为无法与这些服务器建立 TLS 连接,则没有任何漏洞。无法建立 TLS 连接,因此无法利用 OpenSSL 的易受攻击版本。
| 归档时间: |
|
| 查看次数: |
567 次 |
| 最近记录: |