" OpenSSL 1.01--受影响的一个生产版本 - 曾经 自2012年3月12日起发货"
这(上图)是否意味着我们一个月前订购的Windows 2012 R2服务器(现在在IIS中运行HTTPS站点)容易受到Heartbleed攻击?
我已经阅读了一篇帖子,建议您使用此网站http://filippo.io/Heartbleed/来检查您的服务器是否容易受到攻击,但它现在可能会受到大量点击,因为它正在等待。没有回应。
答案 0 :(得分:94)
IIS不易受攻击,因为它不使用OpenSSL库
更新,引用Troy Hunt:
并非所有Web服务器都依赖于OpenSSL。例如,IIS使用Microsoft的SChannel实现,该实现没有此bug的风险。这是否意味着IIS上的网站不容易受到Heartbleed的攻击?在大多数情况下,是的,但不要太自大,因为OpenSSL可能仍然存在于服务器场中。
此处有更多信息 - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新2:
关于IIS和Heartbleed的Microsoft博客文章:http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
答案 1 :(得分:7)
我刚刚使用http://filippo.io/Heartbleed/扫描我们在Win 2008 IIS7上托管的网站 - SSL正在Windows服务器上直接终止(没有负载平衡设备,其间有SSL卸载) - 它&#39据报道,他们很脆弱。使用IIS8在Win 2012上托管的网站的类似测试不具有相同的结果(不显示为易受攻击的)。
编辑(添加了MS论坛的链接): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral