ada*_*dam 46 iis ssl openssl windows-server-2012 heartbleed-bug
"OpenSSL 1.01--受影响的一个生产版本 - 自2012年3月12日起已发货"
这(上图)是否意味着我们一个月前订购的Windows 2012 R2服务器,现在在IIS中运行HTTPS站点,容易受到Heartbleed攻击?
我已经阅读了一篇帖子,建议通过使用这个网站http://filippo.io/Heartbleed来检查你的服务器是否容易受到攻击,但它现在可能需要大量点击,因为它没有响应.
Tom*_*all 94
IIS不易受攻击,因为它不使用OpenSSL库
更新,引用Troy Hunt:
并非所有Web服务器都依赖于OpenSSL.例如,IIS使用Microsoft的SChannel实现,该实现没有此bug的风险.这是否意味着IIS上的网站不容易受到Heartbleed的攻击?在大多数情况下,是的,但不要太自大,因为OpenSSL可能仍然存在于服务器场中.
更多信息 - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新2:
关于IIS和Heartbleed的微软博客文章:http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
我刚刚使用http://filippo.io/Heartbleed/来扫描我们在Win 2008 IIS7上托管的网站 - SSL正在Windows服务器上直接终止(没有负载均衡设备,其间有SSL卸载) - 正在报告脆弱的.使用IIS8在Win 2012上托管的网站的类似测试没有相同的结果(不显示为易受攻击).
编辑(添加到MS论坛的链接):http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability? forum= Forefrontedgegeneral
| 归档时间: |
|
| 查看次数: |
49837 次 |
| 最近记录: |