¿Heartbleed afecta a AWS Elastic Load Balancer?

19

La vulnerabilidad de Heartbleed OpenSSL ( http://heartbleed.com/ ) afecta a OpenSSL 1.0.1 a 1.0.1f (inclusive)

Yo uso Amazon Elastic Load Balancer para terminar mis conexiones SSL. ¿Es vulnerable el ELB?

amazon-web-services openssl amazon-elb heartbleed secretmike
fuente
He estado tratando de obtener una respuesta directa a esta. Esta publicación en el foro implica que sí , pero no es de una fuente oficial, por lo que no estoy seguro de hasta qué punto confío en ella (excepto que, en caso de duda, me inclinaría por asumir un compromiso más que seguro).
voretaq7
¿Hay algún código POC disponible para explotar esto para que no tengamos que esperar / confiar en las respuestas de los proveedores?
Mark Wagner
http://possible.lv/tools/hb/ verificará si heartbeat está habilitado, pero no puede detectar la diferencia entre las versiones parcheadas y no parcheadas. http://filippo.io/Heartbleed/ afirma ser un verdadero POC, y parecía funcionar para mi caso, pero su servidor está cerrado y el autor no ha publicado la fuente.
pescado soluble
1
filippo.io ahora ha publicado un enlace "bifurcame en github" en la página - github.com/FiloSottile/Heartbleed
Ben Walding

Respuestas:

32

Actualización 09/04/2014 1:00 AM EST

Amazon ha declarado que todos los Balanceadores de carga elásticos se han actualizado y ahora son más vulnerables. Recomiendan certificados rotativos también.

Actualización 08/04/2014 2:56 PM CST

Amazon ha declarado que todos los Balanceadores de carga elásticos, excepto los de US-EAST-1, se han actualizado, y la gran mayoría de los de US-EAST-1 se han actualizado.

Actualización 08/04/2014 9:58 PM PST

Amazon ha confirmado que esto afecta a la plataforma ELB y actualmente está trabajando para mitigar el exploit. Consulte el siguiente enlace para ver la respuesta oficial.

Sí lo es. más probable . Varias personas han declarado que han recibido respuestas de Amazon de que ELB está afectado por este problema. Francamente, la mayoría de las aplicaciones SSL se ven afectadas por esto, con la notable excepción de Cloudflare, que parece haber recibido una alerta temprana.

Evidencia que sugiere como tal:

https://forums.aws.amazon.com/thread.jspa?threadID=149690#jive-message-535248

Ver también:

http://aws.amazon.com/security/security-bulletins/aws-services-updated-to-address-openssl-vulnerability/

Jacob
fuente