Apakah Heartbleed memengaruhi AWS Elastic Load Balancer?

19

Kerentanan OpenSSL Heartbleed ( http://heartbleed.com/ ) memengaruhi OpenSSL 1.0.1 hingga 1.0.1f (inklusif)

Saya menggunakan Amazon Elastic Load Balancer untuk mengakhiri koneksi SSL saya. Apakah ELB rentan?

rahasia
sumber
Saya telah mencoba untuk mendapatkan jawaban langsung untuk yang ini. Posting forum ini menyiratkan ya , tapi itu bukan dari sumber resmi jadi saya tidak yakin sejauh mana saya mempercayainya (kecuali bahwa ketika ragu saya akan cenderung berasumsi dikompromikan karena aman).
voretaq7
Apakah ada kode POC yang tersedia untuk mengeksploitasi ini sehingga kita tidak harus menunggu / percaya tanggapan vendor?
Mark Wagner
http://possible.lv/tools/hb/ akan memeriksa apakah detak jantung diaktifkan, tetapi tidak dapat mendeteksi perbedaan antara versi yang ditambal dan tidak ditambal. http://filippo.io/Heartbleed/ mengklaim sebagai POC nyata, dan sepertinya berfungsi untuk kasus saya, tetapi servernya dibanting dan pembuatnya belum memposting sumber.
ikan larut
1
filippo.io sekarang telah memposting tautan "fork me on github" di halaman - github.com/FiloSottile/Heartbleed
Ben Walding

Jawaban:

32

Perbarui 09/04/2014 1:00 EST

Amazon telah menyatakan bahwa semua Penyeimbang Beban Elastis telah diperbarui dan sekarang lebih rentan. Mereka merekomendasikan sertifikat berputar juga.

Perbarui 08/04/2014 14:56 CST

Amazon telah menyatakan bahwa semua Penyeimbang Beban Elastis kecuali yang ada di US-EAST-1 telah diperbarui, dan sebagian besar dari mereka yang ada di US-EAST-1 telah diperbarui.

Perbarui 08/04/2014 21:58 PST

Amazon telah mengkonfirmasi bahwa ini mempengaruhi platform ELB dan saat ini sedang bekerja untuk mengurangi eksploitasi. Lihat tautan di bawah untuk tanggapan resmi.


Ya itu. kemungkinan besar . Beberapa orang telah menyatakan bahwa mereka mendapat tanggapan dari Amazon bahwa ELB dipengaruhi oleh masalah ini. Sejujurnya, sebagian besar aplikasi SSL dipengaruhi oleh ini dengan pengecualian Cloudflare yang tampaknya mendapat peringatan dini.

Bukti menunjukkan seperti itu:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Lihat juga:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Yakub
sumber