iis विंडोज सर्वर 2012 आर 2 और आईआईएस दिल से शोषण से प्रभावित?




ssl openssl (2)

"ओपनएसएसएल 1.01 - प्रभावित एक उत्पादन संस्करण - 12 मार्च, 2012 से शिपिंग कर रहा था"

क्या यह (ऊपर) का मतलब है कि एक महीने पहले एक विंडोज 2012 आर 2 सर्वर का आदेश दिया गया था, अब आईआईएस में एचटीटीपीएस साइट चल रहा है, हार्टलेड हमलों के लिए कमजोर है?

मैंने एक पोस्ट पढ़ी है जो यह जांचने का सुझाव देती है कि क्या आपका सर्वर कमजोर है, इस साइट का उपयोग करके http://filippo.io/Heartbleed/ , लेकिन शायद यह अभी हिट का एक टन ले रहा है, क्योंकि यह प्रतिक्रिया नहीं दे रहा है।


आईआईएस कमजोर नहीं है क्योंकि यह ओपनएसएसएल लाइब्रेरी का उपयोग नहीं करता है

अद्यतन, उद्धरण ट्रॉय हंट:

सभी वेब सर्वर ओपनएसएसएल पर निर्भर नहीं हैं। आईआईएस, उदाहरण के लिए, माइक्रोसॉफ्ट के एससीएचनल कार्यान्वयन का उपयोग करता है जो इस बग के जोखिम में नहीं है। क्या इसका मतलब यह है कि आईआईएस की साइटें दिल से कमजोर नहीं हैं? अधिकांश भाग के लिए, हाँ, लेकिन बहुत मुर्गा मत बनो क्योंकि ओपनएसएसएल अभी भी सर्वर फार्म के भीतर मौजूद हो सकता है।

यहां अधिक जानकारी - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

अद्यतन 2:

आईआईएस और हार्टबलेड पर माइक्रोसॉफ्ट ब्लॉग पोस्ट: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx


मैंने अभी WinF आईआईएस 7 पर होस्ट की गई वेबसाइट को स्कैन करने के लिए http://filippo.io/Heartbleed/ का उपयोग किया है - एसएसएल को विंडोज सर्वर पर सीधे समाप्त किया जा रहा है (एसएसएल ऑफ़लोडिंग के साथ कोई भार संतुलन डिवाइस नहीं) - इसकी सूचना दी जा रही है कमजोर के रूप में। आईआईएस 8 के साथ विन 2012 पर होस्ट की गई वेबसाइटों के समान परीक्षणों का एक ही परिणाम नहीं है (कमजोर के रूप में नहीं दिखाया जाता है)।

संपादित करें (एमएस फोरम में जोड़ा गया लिंक): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral