Windows Server 2012 R2およびIIS Heartbleedエクスプロイトの影響?
「影響を受ける製品バージョンの1つであるOpenSSL 1.01は、2012年3月12日から出荷されていました」
これは(上記)、1か月前に注文し、現在IISでHTTPSサイトを実行しているWindows 2012 R2サーバーがHeartbleed攻撃に対して脆弱であることを意味しますか?
このサイト http://filippo.io/Heartbleed/ を使用して、サーバーが脆弱かどうかを確認することを提案する投稿を読んだことがありますが、現在のところ、おそらく大量のヒットが発生しています応答していない。
IISはOpenSSLライブラリを使用しないため、脆弱ではありません
更新、トロイハントの引用:
すべてのWebサーバーがOpenSSLに依存しているわけではありません。たとえば、IISはMicrosoftのSChannel実装を使用しますが、このバグのリスクはありません。それは、IIS上のサイトがHeartbleedに対して脆弱ではないということですか?ほとんどの場合、はい、しかしサーバーファーム内にはまだOpenSSLが存在する可能性があるため、あまり生意気にならないでください。
詳細はこちら- http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新2:
IISおよびHeartbleedに関するMicrosoftブログ投稿: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis .aspx
私はちょうど使用しました http://filippo.io/Heartbleed/ Win 2008 IIS7でホストするWebサイトをスキャンします-SSLはWindowsサーバーで直接終了します(SSLオフロードを備えたロードバランシングデバイスなし)中間)-脆弱であると報告されています。 IIS 2012でWin 2012でホストされているWebサイトの同様のテストでは、同じ結果が得られません(脆弱性として表示されません)。
編集(MSフォーラムへのリンクを追加): http://social.technet.Microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral =