A Microsoft megerősíti, hogy az OpenSSL Heartbleed sebezhetősége nem érinti a Microsoft-fiókot és a Microsoft Azure-t

A Heartbleed Bug komoly biztonsági rést jelent a népszerű OpenSSL kriptográfiai szoftverkönyvtárban. Ez a gyengeség lehetővé teszi az internet védelmére használt SSL/TLS titkosítással normál körülmények között védett információk ellopását. Ez a hiba olyan népszerű internetes szolgáltatásokat érint, mint a Yahoo Mail, Yahoo Messenger és sok más. A Microsoft ma megerősítette, hogy a Microsoft-fiókot és a Microsoft Azure-t, valamint a legtöbb Microsoft-szolgáltatást nem érintette az OpenSSL biztonsági rése.

A Heartbleed biztonsági rése az OpenSSL-ben (CVE-2014 0160-) az utóbbi időben jelentős figyelmet kapott. Bár a felfedezett probléma kifejezetten az OpenSSL-re vonatkozik, sok ügyfél kíváncsi arra, hogy ez hatással van-e a Microsoft ajánlataira, különösen a Microsoft Azure-ra. A Microsoft-fiókot és a Microsoft Azure-t, valamint a legtöbb Microsoft-szolgáltatást nem érintette az OpenSSL biztonsági rése. A Windows SSL/TLS implementációja szintén nem volt hatással.

A Microsoft Azure webhelyek, a Microsoft Azure Pack webhelyek és a Microsoft Azure Web Roles nem használnak OpenSSL-t az SSL-kapcsolatok megszakításához. A Windows saját titkosítási összetevővel rendelkezik, az úgynevezett Biztonságos csatorna (más néven SChannel), amely nem érzékeny a Heartbleed sebezhetőségre.

Ha azonban a Microsoft Azure IaaS-jét használja a linuxos lemezképek tárolásához, akkor ügyeljen arra, hogy az OpenSSL-megvalósítás ne legyen sebezhető.

Az OpenSSL egy általános könyvtár a Linuxon, amely titkosítási funkciókat biztosít. Az Azure Virtual Machines rendszerben vagy az OpenSSL-t használó szoftverben Linux-lemezképeket futtató ügyfelek sebezhetőek lehetnek. Azt javasoljuk, hogy minden ügyfél, aki esetleg sebezhető, kövesse a szoftverterjesztő szolgáltatója útmutatásait.

További információkért és a korrekciós intézkedésekre vonatkozó útmutatásért tekintse meg a US Cert itt.