Microsoft potvrdzuje, že zraniteľnosť Heartbleed v OpenSSL neovplyvňuje účet Microsoft a Microsoft Azure

Chyba Heartbleed je vážna chyba v populárnej knižnici kryptografického softvéru OpenSSL. Táto slabina umožňuje ukradnúť informácie chránené za normálnych podmienok šifrovaním SSL/TLS používaným na zabezpečenie internetu. Populárne internetové služby ako Yahoo Mail, Yahoo Messenger a mnohé ďalšie sú ovplyvnené touto chybou. Microsoft dnes potvrdil, že Microsoft Account a Microsoft Azure, spolu s väčšinou Microsoft Services, neboli ovplyvnené zraniteľnosťou OpenSSL.

Zraniteľnosť Heartbleed v OpenSSL (CVE-2014 0160,) sa v poslednej dobe venuje značnému množstvu pozornosti. Zatiaľ čo zistený problém je špecifický pre OpenSSL, mnohí zákazníci sa pýtajú, či to ovplyvňuje ponuky spoločnosti Microsoft, konkrétne Microsoft Azure. Konto Microsoft a Microsoft Azure spolu s väčšinou služieb spoločnosti Microsoft neboli ovplyvnené zraniteľnosťou OpenSSL. Implementácia SSL/TLS v systéme Windows tiež nebola ovplyvnená.

Webové lokality Microsoft Azure, webové lokality Microsoft Azure Pack a webové roly Microsoft Azure nepoužívajú OpenSSL na ukončenie pripojení SSL. Windows prichádza s vlastným šifrovacím komponentom tzv Zabezpečený kanál (aka SChannel), ktorý nie je náchylný na zraniteľnosť Heartbleed.

Ak však na hosťovanie linuxových obrazov používate IaaS Microsoft Azure, mali by ste sa uistiť, že vaša implementácia OpenSSL nie je zraniteľná.

OpenSSL je bežná knižnica v systéme Linux na poskytovanie funkcií šifrovania. Zákazníci, ktorí používajú obrázky Linuxu vo virtuálnych strojoch Azure alebo softvér, ktorý používa OpenSSL, môžu byť zraniteľní. Odporúčame, aby sa všetci zákazníci, ktorí môžu byť zraniteľní, riadili pokynmi od svojho poskytovateľa distribúcie softvéru.

Viac informácií a návod na nápravné opatrenia nájdete v informáciách od US Cert tu.