大多数云基础架构提供商纷纷宣布了对令人担忧的Heartbleed OpenSSL漏洞的修复。另一方面,微软的Azure云基本不受影响——但微软警告,运行Linux映像的客户可能会受到影响。
截至周三为止,公共云提供商谷歌、亚马逊、Rackspace、Joyant和CenturyLink都发布了消息通知客户哪些系统被修复过,以及发布了应该对可能会受到Heartbleed Bug的何种系统部件采取的补救步骤。
我们简短地回顾一下,内存泄漏的Bug意味着攻击者可以攻击受影响的服务器,以提取密码、私钥和会话令牌以及其他数据。
微软于周三晚些时候有点姗姗来迟地对Azure客户发布了通知。Azure博客昨天称,原因是“很多客户都想知道此Bug是否会影响微软的产品,特别是微软的Azure”。
据微软称,“大多”Microsoft服务,包括Microsoft帐户和Azure,并没有受到OpenSSL漏洞的影响,Windows版的SSL / TLS自然均未受到影响。
微软表示,“微软Azure网站、微软Azure Pack Web网站和微软Azure Web Roles在终止SSL连接时用的不是OpenSSL,而是Windows自带的名为Secure Channel(安全通道,又名SChannel)的加密组件,针对Heartbleed漏洞的攻击对Secure Channel是不起作用的。”
但微软警告,在Azure虚拟机运行Linux映像(自Heartbleed Bug于2012年出现于OpenSSL以来,用户就可以在Azure虚拟机运行Linux映像)的客户则可能受到与Heartbleed漏洞相关的攻击。
微软称,“我们建议所有可能受到影响的客户遵守软件分发提供商给出的有关指引,”所谓的有关指引是指美国证书(US Cert.)指引。
各企业应校核产品指引,如Universal Threat Management设备、虚拟化套件(virtualisation kit),以及其他证实受此Bug影响的科技产品。目前仍不知道其他数十家销售商的产品是否受到影响。
微软的可扩展Web服务器IIS并没有受到此Bug的影响。但这并不是说运行IIS网站的公司不会受到影响,主要原因是不少网站用到如亚马逊网络服务(AWS)的第三方负载平衡器,而Heartbleed对亚马逊网络服务是有影响的。
澳大利亚安全公司Threat Intelligence的首席执行官Ty Miller告诉记者,“即使运行的是Microsoft IIS或其他不带漏洞的OpenSSL版本,有心之人仍然可以利用AWS的负载均衡器来获取私人SSL证书、甚至可能用户名、密码和会话Cookie。”
除了弹性负载平衡(Elastic Load Balancing)以外,亚马逊的其他服务昨日亦被证实受到影响,其中包括EC2、OpsWorks、Elastic Beanstalk和CloudFront。
谷歌表示已经修复了谷歌搜索、Gmail、YouTube、Wallet,、Play、 Apps和App引擎,而Chrome和Chrome OS是不受影响的。但谷歌称正在为Android 4.1.1准备一个补丁,所有其他版本的Android操作系统是不受此Bug影响的。谷歌也为旗下的Search Appliance准备了一个补丁。
谷歌还补充说已经在周三推出了针对Cloud SQL实例的补丁,周四会继续发布补丁。此外,谷歌督请使用谷歌计算引擎(Google Compute Engine)的客户“在每个运行实例上对OpenSSL进行手动更新,或是更换现有的映像版本,将其换成带有最新OpenSSL的映像。”
|