「OpenSSL 1.01 — 影響を受ける製品版の 1 つ — は 2012 年 3 月 12 日から出荷されていました」
これ (上記) は、1 か月前に注文した Windows 2012 R2 サーバーが IIS で HTTPS サイトを実行していて、Heartbleed 攻撃に対して脆弱であることを意味しますか?
このサイトhttp://filippo.io/Heartbleed/を使用して、サーバーが脆弱かどうかを確認することを提案する投稿を読みましたが、応答がないため、おそらく現在大量のヒットが発生しています。
IIS は OpenSSL ライブラリを使用しないため、脆弱ではありません
更新、トロイ・ハントの引用:
すべての Web サーバーが OpenSSL に依存しているわけではありません。たとえば、IIS は、このバグのリスクがない Microsoft の SChannel 実装を使用しています。IIS 上のサイトは Heartbleed に対して脆弱ではないということですか? ほとんどの場合、はい。ただし、OpenSSL がサーバー ファーム内にまだ存在している可能性があるため、生意気にはなりません。
詳細はこちら - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
更新 2:
IIS と Heartbleed に関する Microsoft ブログの投稿: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
http://filippo.io/Heartbleed/を使用して、Win 2008 IIS7 でホストしている Web サイトをスキャンしました - SSL は Windows サーバーで直接終了しています (間に SSL オフロードがある負荷分散デバイスはありません) - 報告されています脆弱性として。IIS8 を使用する Win 2012 でホストされている Web サイトの同様のテストでは、同じ結果は得られません (脆弱性は示されません)。
編集 (MS フォーラムへのリンクを追加): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral