Heartbleed는 AWS Elastic Load Balancer에 영향을 줍니까?


19

Heartbleed OpenSSL 취약점 ( http://heartbleed.com/ )은 OpenSSL 1.0.1 ~ 1.0.1f (포함)에 영향을 미칩니다

Amazon Elastic Load Balancer를 사용하여 SSL 연결을 종료합니다. ELB는 취약합니까?


나는 이것에 대한 정답을 얻으려고 노력했습니다. 이 포럼 게시물은 yes를 암시 하지만 공식 출처는 아니므로 얼마나 신뢰할 수 있는지 잘 모르겠습니다 (의심 할 때 보안보다 타협한다고 가정하는 것을 제외하고).
voretaq7

이를 악용하는 데 사용할 수있는 POC 코드가 있습니까? 따라서 공급 업체의 응답을 기다릴 필요가 없습니다.
Mark Wagner

http://possible.lv/tools/hb/ 는 하트 비트가 활성화되어 있는지 확인하지만 패치 된 버전과 패치되지 않은 버전의 차이를 감지 할 수 없습니다. http://filippo.io/Heartbleed/ 는 실제 POC라고 주장하며 내 경우에는 효과가있는 것처럼 보이지만 서버가 다운되어 저자가 소스를 게시하지 않았습니다.
solublefish

1
filippo.io는 이제 페이지에 "github에서 포크"링크를 게시했습니다 -github.com/FiloSottile/Heartbleed
Ben Walding

답변:


32

업데이트 09/04/2014 1:00 AM EST

아마존은 모든 Elastic Load Balancer가 업데이트되었으며 더 이상 취약하다고 언급 했습니다. 인증서 교체도 권장합니다.

업데이트 08/04/2014 2:56 PM CST

Amazon은 US-EAST-1을 제외한 모든 Elastic Load Balancer 가 업데이트되었으며 US-EAST-1에있는 대부분의 Elastic Load Balancer 가 업데이트되었다고 발표했습니다.

업데이트 08/04/2014 9:58 PM PST

아마존은 이것이 ELB 플랫폼에 영향을 미치고 있으며 현재 악용을 완화하기 위해 노력하고 있음을 확인했습니다. 공식 답변은 아래 링크를 참조하십시오.


예, 그렇습니다. 가능성이 높습니다 . 몇몇 사람들은 ELB가이 문제의 영향을 받는다는 아마존의 답변을 받았다고 말했습니다. 솔직히 대부분의 SSL 애플리케이션은 조기 경고를받은 Cloudflare를 제외하고 이로 인해 영향을받습니다.

다음과 같이 제안되는 증거 :

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

또한보십시오:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.