Уязвимость Heartbleed, когда SSL предоставляется незатронутыми серверами?
* Я хотел бы спросить о двух сценариях, когда уязвимая версия OpenSSL установлена на сервере, но этот сервер не предоставляет службы SSL.
Сценарий 1. У меня установлен сертификат SSL на балансировщике нагрузки, за которым находится ферма серверов IIS. Heartbleed не влияет на IIS, и порт 443 там отключен. Но мы обнаруживаем, что балансировщик нагрузки уязвим. Какие аспекты Heartbleed повлияют на нас?
Сценарий 2. В этом сценарии балансировщик нагрузки НЕ уязвим. Опять же, балансировщик нагрузки имеет установленный сертификат. Но за ним стоит ферма серверов, работающих на PHP, с установленной и включенной уязвимой версией OpenSSL - возможно, потому что это требуется другому расширению или кто-то включил его, не задумываясь. Порт 443 также отключен на этих серверах. Какие аспекты Heartbleed повлияют на нас?
Насколько я понимаю, в Сценарии 1 наши ключи и данные, передаваемые по проводам на серверы и обратно, рискуют быть перехваченными. Однако содержимое памяти сервера приложений IIS не подвергнется риску.
Опять же, исходя из моего понимания, что может быть неправильно, в Сценарии 2 нет риска.
Может ли кто-нибудь проверить или исправить мои предположения?
1 ответ
Heartbleed позволяет отображать память с сервера, на котором работает [уязвимая версия] OpenSSL, во время соединения TLS. Таким образом, чтобы использовать heartbleed, сервер должен использовать уязвимую версию OpenSSL И принимать соединения TLS.
Следовательно, в сценарии 1 вы рискуете получить доступ к памяти вашего балансировщика нагрузки, поскольку это сервер, на котором работает OpenSSL.
В сценарии 2, если ваш сценарий настроен таким образом, что TLS-соединение не может быть установлено с этими серверами, ничто не уязвимо. Соединение TLS не может быть установлено, поэтому уязвимые версии OpenSSL не могут быть использованы.