【发布时间】:2014-05-21 20:12:00
【问题描述】:
“OpenSSL 1.01 — 受影响的一个生产版本 — 自 2012 年 3 月 12 日起发货"
这是否意味着我们一个月前订购的 Windows 2012 R2 服务器现在在 IIS 中运行 HTTPS 站点容易受到 Heartbleed 攻击?
我读过一篇帖子,建议通过使用此站点 http://filippo.io/Heartbleed/ 检查您的服务器是否易受攻击,但它现在可能会受到大量点击,因为它没有响应。
【问题讨论】:
-
这取决于微软在构建 IIS 时是否使用了 OpenSSL,不是吗?并不是说 M$ 自己的内部 ssl 代码不会有类似的问题,但仅仅因为 OpenSSL 易受攻击并不意味着所有 ssl 服务器现在都易受攻击.. 只是那些构建/使用受影响的 openssl 版本的服务器。
-
我希望我能回答你的问题。不幸的是,我没有必要的经验……因为我不熟悉 IIS 的构建方式、操作系统的配置方式或 OpenSSL 的工作方式。既然如此,我的任务仍然是确定是否易受攻击。关于我们的漏洞级别,我是否可以提供任何其他信息来提示某人?
-
@adam OpenSSL
!=SSL,它只是 SSL 和 TLS 技术的(开源)实现。正如 MarcB 所说,OpenSSL 许可证要求在产品中包含它时对其进行命名。 IIS 使用 SSL 的内部实现。 -
@adam 哎呀!刚刚意识到我评论了
IIS does not use SSL。我的意思是说它不使用 OpenSSL。 -
这个问题似乎离题了,因为它是关于软件版本、管理和补丁的。服务器故障有很多关于这个主题的问题:serverfault.com/questions/tagged/heartbleed。
标签: iis ssl openssl windows-server-2012 heartbleed-bug