vulnerabilidad - Windows Server 2012 R2 e IIS afectados por Heartbleed exploit?
vulnerabilidad heartbleed desde cuándo se conocía (2)
"OpenSSL 1.01 - la única versión de producción afectada - había sido enviada desde el 12 de marzo de 2012"
¿Esto (arriba) significa que un servidor de Windows 2012 R2 que pedimos hace un mes, que ahora ejecuta sitios HTTPS en IIS, es vulnerable a los ataques de Heartbleed?
He leído una publicación que sugiere comprobar si su servidor es vulnerable, utilizando este sitio http://filippo.io/Heartbleed/ , pero probablemente esté recibiendo un montón de visitas en este momento, ya que no está respondiendo.
Acabo de utilizar http://filippo.io/Heartbleed/ para escanear un sitio web que alojamos en Win 2008 IIS7 - SSL se termina en el servidor de Windows directamente (no hay un dispositivo de equilibrio de carga con descarga de SSL en el medio) - se está informando como vulnerable Las pruebas similares de sitios web alojados en Win 2012 con IIS8 no tienen el mismo resultado (no se muestra como vulnerable).
Editar (se agregó un enlace al foro de MS): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral
IIS no es vulnerable, ya que no utiliza la biblioteca OpenSSL
Actualización, cita Troy Hunt:
No todos los servidores web dependen de OpenSSL. IIS, por ejemplo, utiliza la implementación de SChannel de Microsoft que no corre el riesgo de presentar este error. ¿Eso significa que los sitios en IIS no son vulnerables a Heartbleed? En su mayor parte, sí, pero no seas demasiado arrogante porque OpenSSL aún puede estar presente en la granja de servidores.
Más información aquí - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
Actualización 2:
Publicación de blog de Microsoft en IIS y Heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx