Microsoft potwierdza, że luka Heartbleed w OpenSSL nie wpływa na konto Microsoft i Microsoft Azure
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Błąd Heartbleed to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość umożliwia kradzież informacji chronionych w normalnych warunkach przez szyfrowanie SSL/TLS używane do zabezpieczenia Internetu. Ten błąd dotyczy popularnych serwisów internetowych, takich jak Yahoo Mail, Yahoo Messenger i wielu innych. Firma Microsoft potwierdziła dzisiaj, że konto Microsoft i Microsoft Azure, a także większość usług firmy Microsoft, nie zostały objęte luką w zabezpieczeniach OpenSSL.
Luka Heartbleed w OpenSSL (CVE-2014-0160) cieszy się ostatnio dużym zainteresowaniem. Chociaż wykryty problem jest specyficzny dla OpenSSL, wielu klientów zastanawia się, czy ma to wpływ na oferty firmy Microsoft, a konkretnie na platformę Microsoft Azure. Konto Microsoft i Microsoft Azure, podobnie jak większość usług firmy Microsoft, nie zostały objęte luką w zabezpieczeniach OpenSSL. Nie wpłynęło to również na implementację protokołu SSL/TLS w systemie Windows.
Witryny sieci Web Microsoft Azure, witryny sieci Web Microsoft Azure Pack i role sieci Web platformy Microsoft Azure nie używają protokołu OpenSSL do kończenia połączeń SSL. Windows jest dostarczany z własnym komponentem szyfrującym o nazwie Bezpieczny kanał (aka SChannel), która nie jest podatna na lukę Heartbleed.
Jeśli jednak używasz IaaS platformy Microsoft Azure do hostowania obrazów systemu Linux, upewnij się, że implementacja OpenSSL nie jest zagrożona.
OpenSSL to powszechna biblioteka w systemie Linux zapewniająca funkcjonalność szyfrowania. Klienci korzystający z obrazów systemu Linux w maszynach wirtualnych platformy Azure lub oprogramowania korzystającego z protokołu OpenSSL mogą być podatni na ataki. Zalecamy, aby wszyscy klienci, którzy mogą być narażeni, postępowali zgodnie ze wskazówkami dostawcy dystrybucji oprogramowania.
Aby uzyskać więcej informacji i wskazówek dotyczących działań naprawczych, zapoznaj się z informacjami z US Cert tutaj.
