Beeinflusst Heartbleed AWS Elastic Load Balancer?

19

Die Heartbleed OpenSSL-Schwachstelle ( http://heartbleed.com/ ) betrifft OpenSSL 1.0.1 bis 1.0.1f (einschließlich).

Ich verwende Amazon Elastic Load Balancer, um meine SSL-Verbindungen zu beenden. Ist ELB anfällig?

secretmike
quelle
Ich habe versucht, selbst eine klare Antwort auf diese Frage zu bekommen. Dieser Forumsbeitrag impliziert ja , aber er stammt nicht aus einer offiziellen Quelle, daher bin ich mir nicht sicher, inwieweit ich ihm vertraue (mit der Ausnahme, dass ich im Zweifelsfall eher davon ausgehen würde, dass ein Kompromiss über Sicherheit besteht).
Voretaq7
Steht ein POC-Code zur Verfügung, um dies auszunutzen, sodass wir nicht auf die Antworten der Anbieter warten oder diesen vertrauen müssen?
Mark Wagner
http://possible.lv/tools/hb/ überprüft, ob Heartbeat aktiviert ist, kann jedoch den Unterschied zwischen gepatchten und ungepatchten Versionen nicht erkennen. http://filippo.io/Heartbleed/ behauptet, ein echter POC zu sein, und es schien für meinen Fall zu funktionieren, aber sein Server ist überlastet und der Autor hat keine Quelle gepostet.
löslicher Fisch
1
filippo.io hat geschrieben jetzt eine „Gabel mich auf Github“ -Link auf der Seite - github.com/FiloSottile/Heartbleed
Ben Walding

Antworten:

32

Update 09.04.2014 01:00 EST

Amazon hat angegeben, dass alle Elastic Load Balancers aktualisiert wurden und nun länger anfällig sind. Sie empfehlen auch rotierende Zertifikate.

Update 08/04/2014 2:56 PM CST

Amazon hat angegeben, dass alle Elastic Load Balancer mit Ausnahme derjenigen in US-EAST-1 und die überwiegende Mehrheit derjenigen in US-EAST-1 aktualisiert wurden.

Update 08/04/2014 9:58 PM PST

Amazon hat bestätigt, dass dies Auswirkungen auf die ELB-Plattform hat, und arbeitet derzeit an einer Minderung des Exploits. Die offizielle Antwort finden Sie unter dem folgenden Link.


Ja ist es. höchstwahrscheinlich . Mehrere Personen haben angegeben, dass sie Antworten von Amazon erhalten haben, dass ELB von diesem Problem betroffen ist. Ehrlich gesagt sind die meisten SSL-Anwendungen davon betroffen, mit Ausnahme von Cloudflare, das anscheinend frühzeitig gewarnt wurde.

Anhaltspunkte dafür:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Siehe auch:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Jacob
quelle