"OpenSSL 1.01 - une version de production touchées avaient été expédition depuis le 12 Mars 2012"
Est-ce (ci-dessus) signifie qu'un Windows server 2012 R2, nous avons commandé il y a un mois, maintenant en cours d'exécution sites HTTPS dans IIS, est vulnérable à Heartbleed attaques?
J'ai lu un post qui suggère de vérifier si votre serveur est vulnérable, par l'utilisation de ce site http://filippo.io/Heartbleed/ , mais c'est probablement de prendre une tonne de coups dès maintenant, car il n'est pas de répondre.
Réponses
Trop de publicités?
IIS n'est pas vulnérable qu'il n'utilise pas la bibliothèque OpenSSL
Mise à jour, devis Troy Hunt:
Pas tous les serveurs web sont dépendants sur OpenSSL. IIS, par exemple, utilise Microsoft SChannel de mise en œuvre qui n'est pas à risque de ce bug. Est-ce à dire que les sites sur IIS ne sont pas vulnérables à Heartbleed? Pour la plupart, oui, mais ne soyez pas trop arrogant parce que OpenSSL peut être encore présent dans la batterie de serveurs.
Plus d'info ici - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
Mise à jour 2:
Microsoft blog sur IIS et Heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
Matthew
Points
79
J'ai simplement utilisé http://filippo.io/Heartbleed/ pour scanner un site web que nous hébergeons sur Win 2008 IIS7 - SSL est terminée sur le serveur windows directement (pas de périphérique d'équilibrage de charge avec le déchargement SSL entre les deux) - il a été signalé comme étant vulnérables. Des tests similaires de sites web hébergés sur Win 2012 avec IIS8 n'ont pas le même résultat (n'apparaît pas comme vulnérables).
Modifier (ajout d'un lien vers MS forum): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral
