“OpenSSL 1.01 — 受影响的一个生产版本 — 自 2012 年 3 月 12 日起交付”
这(上图)是否意味着我们一个月前订购的 Windows 2012 R2 服务器现在在 IIS 中运行 HTTPS 站点,容易受到 Heartbleed 攻击?
我读过一篇文章,建议通过使用此站点http://filippo.io/Heartbleed/检查您的服务器是否易受攻击,但它现在可能会受到大量点击,因为它没有响应。
问问题
50265 次
2 回答
94
IIS 不易受到攻击,因为它不使用 OpenSSL 库
更新,引用特洛伊亨特的话:
并非所有 Web 服务器都依赖于 OpenSSL。例如,IIS 使用 Microsoft 的 SChannel 实现,它不会面临这个错误的风险。这是否意味着 IIS 上的站点不会受到 Heartbleed 的攻击?在大多数情况下,是的,但不要太自大,因为 OpenSSL 可能仍然存在于服务器场中。
更多信息在这里 - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新 2:
微软关于 IIS 和 Heartbleed 的博文:http: //blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
于 2014-04-09T00:27:28.137 回答
7
我刚刚使用http://filippo.io/Heartbleed/扫描了我们在 Win 2008 IIS7 上托管的网站 - SSL 直接在 Windows 服务器上终止(没有负载平衡设备,中间有 SSL 卸载) - 正在报告一样脆弱。使用 IIS8 在 Win 2012 上托管的网站的类似测试没有相同的结果(未显示为易受攻击)。
编辑(添加到 MS 论坛的链接): http ://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral
于 2014-04-09T03:58:01.477 回答