web-dev-qa-db-fra.com

Windows Server 2012 R2 et IIS affectés par l'exploit Heartbleed?

"OpenSSL 1.01 - la seule version de production concernée - était disponible depuis le 12 mars 2012"

Est-ce que cela (ci-dessus) signifie qu'un serveur Windows 2012 R2 que nous avons commandé il y a un mois et qui exécute maintenant des sites HTTPS dans IIS est vulnérable aux attaques Heartbleed?


J'ai lu un article qui suggère de vérifier si votre serveur est vulnérable, en utilisant ce site http://filippo.io/Heartbleed/ , mais cela prend probablement une tonne de hits en ce moment, car c'est ne répond pas.

46
adam

IIS n'est pas vulnérable car il n'utilise pas la bibliothèque OpenSSL

Mise à jour, citation de Troy Hunt:

Tous les serveurs Web ne dépendent pas d'OpenSSL. IIS, par exemple, utilise l’implémentation SChannel de Microsoft qui n’est pas exposée à ce bogue. Cela signifie-t-il que les sites sur IIS ne sont pas vulnérables à Heartbleed? Pour la plupart, oui, mais ne soyez pas trop arrogant car OpenSSL peut toujours être présent dans la batterie de serveurs.

Plus d'infos ici - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

Mise à jour 2:

Article de blog Microsoft sur IIS et Heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and -iis.aspx

94
Tom Hall

Je viens d'utiliser http://filippo.io/Heartbleed/ pour analyser un site Web hébergé sur Hébergé sous Windows 2008 IIS7 - SSL est en cours de résiliation sur le serveur Windows directement (aucun périphérique d'équilibrage de charge avec déchargement SSL) entre les deux) - il est signalé comme vulnérable. Des tests similaires de sites Web hébergés sur Win 2012 avec IIS8 ne donnent pas le même résultat (n'apparaît pas vulnérable).

Modifier (lien ajouté au forum MS): http://social.technet.Microsoft.com/Forums/fr-93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral =

7
Matthew