O Heartbleed afeta o AWS Elastic Load Balancer?

19

A vulnerabilidade do Heartbleed OpenSSL ( http://heartbleed.com/ ) afeta o OpenSSL 1.0.1 a 1.0.1f (inclusive)

Eu uso o Amazon Elastic Load Balancer para encerrar minhas conexões SSL. O ELB é vulnerável?

secretmike
fonte
Eu tenho tentado obter uma resposta direta a esta. Esta postagem no fórum implica que sim , mas não é de uma fonte oficial, portanto não tenho certeza de quanto confio nela (exceto que, em caso de dúvida, eu me inclinaria a assumir o compromisso de ser mais seguro).
precisa saber é o seguinte
Existe algum código POC disponível para explorar isso, para que não tenhamos que esperar / confiar nas respostas dos fornecedores?
Mark Wagner
O http://possible.lv/tools/hb/ verificará se a pulsação está ativada, mas não pode detectar a diferença entre as versões corrigida e não corrigida. http://filippo.io/Heartbleed/ afirma ser um verdadeiro POC, e parecia funcionar para o meu caso, mas o servidor está fechado e o autor não postou a fonte.
achou
1
filippo.io já postou um link "bifurcar-me no github" na página - github.com/FiloSottile/Heartbleed
Ben Walding

Respostas:

32

Atualização 09/04/2014 01:00 EST

A Amazon afirmou que todos os Elastic Load Balancers foram atualizados e agora estão mais vulneráveis. Eles recomendam cerdas rotativas também.

Atualização 08/04/2014 14:56 CST

A Amazon declarou que todos os Elastic Load Balancers, exceto os do US-EAST-1, foram atualizados, e a grande maioria dos do US-EAST-1 foi atualizada.

Atualização 08/04/2014 21:58 PST

A Amazon confirmou que isso afeta a plataforma ELB e está atualmente trabalhando para mitigar a exploração. Veja o link abaixo para a resposta oficial.


Sim. provavelmente . Várias pessoas afirmaram que receberam respostas da Amazon de que o ELB é afetado por esse problema. Francamente, a maioria dos aplicativos SSL é afetada por isso, com a exceção notável do Cloudflare, que parece ter recebido um aviso prévio.

Evidência sugerindo como tal:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Veja também:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Jacob
fonte