受Heartbleed漏洞影响的Windows Server 2012 R2和IIS?
“OpenSSL 1.01 – 受影响的一个生产版本 – 自2012年3月12日起出货”
这是否意味着我们在一个月前订购的Windows 2012 R2服务器(现在在IIS中运行HTTPS站点)容易受到Heartbleed攻击?
我已经阅读了一篇文章,build议使用http://filippo.io/Heartbleed/来检查你的服务器是否易受攻击,但是现在可能需要大量的点击,因为它没有响应。
因为它不使用OpenSSL库,所以IIS不是脆弱的
更新,引用Troy Hunt:
并不是所有的Web服务器都依赖于OpenSSL。 例如,IIS使用Microsoft的SChannel实现,该实现不存在此bug的风险。 这是否意味着IIS上的网站不容易受到Heartbleed的攻击? 大多数情况下,是的,但不要太自大,因为OpenSSL可能仍然存在于服务器群中。
更多信息在这里 – http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新2:
IIS和Heartbleed上的微软博客文章: http : //blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
我刚刚使用http://filippo.io/Heartbleed/扫描我们在Win 2008 IIS7上托pipe的网站 – 直接在Windows服务器上终止SSL(在两者之间没有使用SSL卸载的负载平衡设备) – 正在报告作为脆弱的。 在Win 2012上用IIS8托pipe的网站的类似testing没有相同的结果(不显示为易受攻击的)。
编辑(添加链接到MS论坛): http : //social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability? forum= Forefrontedgegeneral
