首页 >> 运维管理 >> 技术 >> 正文
谷歌、亚马逊AWS、Rackspace均受到Heartbleed OpenSSL漏洞影响——Azure幸免于难
通信世界网 http://www.cww.net.cn 2014年4月14日 08:29
标签:OpenSSL漏洞 windows Azure
 

大多数云基础架构提供商纷纷宣布了对令人担忧的Heartbleed OpenSSL漏洞的修复。另一方面,微软的Azure云基本不受影响——但微软警告,运行Linux映像的客户可能会受到影响。

截至周三为止,公共云提供商谷歌、亚马逊、Rackspace、Joyant和CenturyLink都发布了消息通知客户哪些系统被修复过,以及发布了应该对可能会受到Heartbleed Bug的何种系统部件采取的补救步骤。

我们简短地回顾一下,内存泄漏的Bug意味着攻击者可以攻击受影响的服务器,以提取密码、私钥和会话令牌以及其他数据。

微软于周三晚些时候有点姗姗来迟地对Azure客户发布了通知。Azure博客昨天称,原因是“很多客户都想知道此Bug是否会影响微软的产品,特别是微软的Azure”。

据微软称,“大多”Microsoft服务,包括Microsoft帐户和Azure,并没有受到OpenSSL漏洞的影响,Windows版的SSL / TLS自然均未受到影响。

微软表示,“微软Azure网站、微软Azure Pack Web网站和微软Azure Web Roles在终止SSL连接时用的不是OpenSSL,而是Windows自带的名为Secure Channel(安全通道,又名SChannel)的加密组件,针对Heartbleed漏洞的攻击对Secure Channel是不起作用的。”

但微软警告,在Azure虚拟机运行Linux映像(自Heartbleed Bug于2012年出现于OpenSSL以来,用户就可以在Azure虚拟机运行Linux映像)的客户则可能受到与Heartbleed漏洞相关的攻击。

微软称,“我们建议所有可能受到影响的客户遵守软件分发提供商给出的有关指引,”所谓的有关指引是指美国证书(US Cert.)指引。

各企业应校核产品指引,如Universal Threat Management设备、虚拟化套件(virtualisation kit),以及其他证实受此Bug影响的科技产品。目前仍不知道其他数十家销售商的产品是否受到影响。

微软的可扩展Web服务器IIS并没有受到此Bug的影响。但这并不是说运行IIS网站的公司不会受到影响,主要原因是不少网站用到如亚马逊网络服务(AWS)的第三方负载平衡器,而Heartbleed对亚马逊网络服务是有影响的。

澳大利亚安全公司Threat Intelligence的首席执行官Ty Miller告诉记者,“即使运行的是Microsoft IIS或其他不带漏洞的OpenSSL版本,有心之人仍然可以利用AWS的负载均衡器来获取私人SSL证书、甚至可能用户名、密码和会话Cookie。”

除了弹性负载平衡(Elastic Load Balancing)以外,亚马逊的其他服务昨日亦被证实受到影响,其中包括EC2、OpsWorks、Elastic Beanstalk和CloudFront。

谷歌表示已经修复了谷歌搜索、Gmail、YouTube、Wallet,、Play、 Apps和App引擎,而Chrome和Chrome OS是不受影响的。但谷歌称正在为Android 4.1.1准备一个补丁,所有其他版本的Android操作系统是不受此Bug影响的。谷歌也为旗下的Search Appliance准备了一个补丁。

谷歌还补充说已经在周三推出了针对Cloud SQL实例的补丁,周四会继续发布补丁。此外,谷歌督请使用谷歌计算引擎(Google Compute Engine)的客户“在每个运行实例上对OpenSSL进行手动更新,或是更换现有的映像版本,将其换成带有最新OpenSSL的映像。”

[1]  [2]  
 

来源:ZDNet安全频道
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
李进良:阚凯力“4G..
阚教授以语不惊人誓不休的哗众取宠姿态博得不少喝彩声,咋一听,迎合了某些..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网