Microsoft vahvistaa, että OpenSSL:n Heartbleed-haavoittuvuus ei vaikuta Microsoft-tiliin ja Microsoft Azureen

Heartbleed Bug on vakava haavoittuvuus suositussa OpenSSL-salausohjelmistokirjastossa. Tämä heikkous mahdollistaa tietojen varastamisen, jotka on normaaleissa olosuhteissa suojattu Internetin suojaamiseen käytetyllä SSL/TLS-salauksella. Tämä bugi vaikuttaa suosituihin Internet-palveluihin, kuten Yahoo Mail, Yahoo Messenger ja monet muut. Microsoft vahvisti tänään, että OpenSSL-haavoittuvuus ei vaikuttanut Microsoft-tiliin ja Microsoft Azureen sekä useimpiin Microsoft-palveluihin.

Heartbleed-haavoittuvuus OpenSSL:ssä (CVE-2014-0160) on saanut viime aikoina paljon huomiota. Vaikka havaittu ongelma koskee vain OpenSSL:ää, monet asiakkaat ihmettelevät, vaikuttaako tämä Microsoftin tarjontaan, erityisesti Microsoft Azureen. OpenSSL-haavoittuvuus ei vaikuttanut Microsoft-tiliin ja Microsoft Azureen sekä useimpiin Microsoft-palveluihin. Myöskään Windowsin SSL/TLS-toteutus ei vaikuttanut.

Microsoft Azure -verkkosivustot, Microsoft Azure Pack -verkkosivustot ja Microsoft Azure -verkkoroolit eivät käytä OpenSSL:ää SSL-yhteyksien katkaisemiseen. Windowsissa on oma salauskomponentti nimeltään Turvallinen kanava (alias SChannel), joka ei ole herkkä Heartbleed-haavoittuvuudelle.

Jos kuitenkin käytät Microsoft Azuren IaaS:ää Linux-kuvien isännöimiseen, sinun tulee varmistaa, että OpenSSL-toteuksesi ei ole haavoittuva.

OpenSSL on yleinen kirjasto Linuxissa salaustoimintojen tarjoamiseksi. Asiakkaat, jotka käyttävät Linux-kuvia Azure Virtual Machinesissa tai OpenSSL:ää käyttäviä ohjelmistoja, voivat olla haavoittuvia. Suosittelemme, että kaikki asiakkaat, jotka voivat olla haavoittuvia, noudattavat ohjelmistojakelijansa ohjeita.

Katso lisätietoja ja ohjeita korjaaviin toimiin US Cert tätä.