谷歌、亚马逊AWS、Rackspace均受到Heartbleed OpenSSL漏洞影响——Azure幸免于难

ZDNET安全频道 04月11日 国际新闻： 大多数云基础架构提供商纷纷宣布了对令人担忧的Heartbleed OpenSSL漏洞的修复。另一方面，微软的Azure云基本不受影响——但微软警告，运行Linux映像的客户可能会受到影响。

截至周三为止，公共云提供商谷歌、亚马逊、Rackspace、Joyant和CenturyLink都发布了消息通知客户哪些系统被修复过，以及发布了应该对可能会受到Heartbleed Bug的何种系统部件采取的补救步骤。

我们简短地回顾一下，内存泄漏的Bug意味着攻击者可以攻击受影响的服务器，以提取密码、私钥和会话令牌以及其他数据。

微软于周三晚些时候有点姗姗来迟地对Azure客户发布了通知。Azure博客昨天称，原因是“很多客户都想知道此Bug是否会影响微软的产品，特别是微软的Azure”。

据微软称，“大多”Microsoft服务，包括Microsoft帐户和Azure，并没有受到OpenSSL漏洞的影响，Windows版的SSL / TLS自然均未受到影响。

微软表示，“微软Azure网站、微软Azure Pack Web网站和微软Azure Web Roles在终止SSL连接时用的不是OpenSSL，而是Windows自带的名为Secure Channel（安全通道，又名SChannel）的加密组件，针对Heartbleed漏洞的攻击对Secure Channel是不起作用的。”

但微软警告，在Azure虚拟机运行Linux映像（自Heartbleed Bug于2012年出现于OpenSSL以来，用户就可以在Azure虚拟机运行Linux映像）的客户则可能受到与Heartbleed漏洞相关的攻击。

微软称，“我们建议所有可能受到影响的客户遵守软件分发提供商给出的有关指引，”所谓的有关指引是指美国证书（US Cert.）指引。

各企业应校核产品指引，如Universal Threat Management设备、虚拟化套件（virtualisation kit），以及其他证实受此Bug影响的科技产品。目前仍不知道其他数十家销售商的产品是否受到影响。

微软的可扩展Web服务器IIS并没有受到此Bug的影响。但这并不是说运行IIS网站的公司不会受到影响，主要原因是不少网站用到如亚马逊网络服务（AWS）的第三方负载平衡器，而Heartbleed对亚马逊网络服务是有影响的。

澳大利亚安全公司Threat Intelligence的首席执行官Ty Miller告诉记者，“即使运行的是Microsoft IIS或其他不带漏洞的OpenSSL版本，有心之人仍然可以利用AWS的负载均衡器来获取私人SSL证书、甚至可能用户名、密码和会话Cookie。”

除了弹性负载平衡（Elastic Load Balancing）以外，亚马逊的其他服务昨日亦被证实受到影响，其中包括EC2、OpsWorks、Elastic Beanstalk和CloudFront。

谷歌表示已经修复了谷歌搜索、Gmail、YouTube、Wallet,、Play、 Apps和App引擎，而Chrome和Chrome OS是不受影响的。但谷歌称正在为Android 4.1.1准备一个补丁，所有其他版本的Android操作系统是不受此Bug影响的。谷歌也为旗下的Search Appliance准备了一个补丁。

谷歌还补充说已经在周三推出了针对Cloud SQL实例的补丁，周四会继续发布补丁。此外，谷歌督请使用谷歌计算引擎（Google Compute Engine）的客户“在每个运行实例上对OpenSSL进行手动更新，或是更换现有的映像版本，将其换成带有最新OpenSSL的映像。”

谷歌表示该漏洞影响到谷歌计算引擎里全部不具有最新版本OpenSSL的Debian、RHEL及CentOS的实例。谷歌在网上也提供了如何解决有关问题的说明。

谷歌的快速HTTP协议SPDY的用户应该注意：谷歌还发布了mod_spdy的一个Bug修复。mod_spdy是一个支持SPDY协议的Apache模块。

Rackspace公司亦修复了自己的基础设施。但Rackspace在周三表示正在“努力修复我们能访问的所有客户系统的的服务器，除非客户明确表示不希望我们修复他们的系统”。Rackspace指，Rackspace无法为核心云计算客户或管理托管客户修复服务器。网上可以找到在这种情况下该如何做的建议。

CenturyLink云公司主要关注的是旗下的OpenVPN软件。OpenVPN软件用于将客户端设备连接到CenturyLink的云上。OpenVPN受到此Bug的影响，但周三时尚无补丁包可用。后来OpenVPN出了更新，但有建议说客户应该阅读相关的通知。

Joyent公司也列出了自2012年以来所有受影响的pkgsrc库，并准备好了相应的更新包供客户下载。

由于此Bug影响到众多的的互联网基础设施，牵涉到修复的问题之一是，此Bug对不同的群体来说意味着不同的东西，取决于受影响的对象是什么性质的角色，包括消费者、使用受影响产品的企业、云服务供应商或由于在受到此Bug影响的云里运行程序的服务提供商。

例如，雅虎建议所有Tumblr客户对一切都重置密码，但是安全专家警告说，有可能最好的做法是等待供应商确认他们已经修复了漏洞。

Sophos亚太区负责人Paul Ducklin指，“如果用户有需要在一个有Heartbleed风险的服务器更改密码，由于Heartbleed额度存在，所选定的新密码可能有风险。”

他还称，“公平一点说，此刻想利用Heartbleed攻击得到新密码的人，比一个星期前、一个月前或一年前用户设置旧密码时想做同样事的人要多得多。”