Amazon現(xiàn)在正對AWS所托管的基礎(chǔ)設(shè)施中的Heartbleed內(nèi)存泄露問題進(jìn)行修復(fù)�。
周二���,Amazon確認(rèn)����,其基礎(chǔ)設(shè)施的某些部分存在OpenSSL 1.0.1漏洞���,俗稱Heartbleed����,Amazon已經(jīng)在周一完成了漏洞修復(fù)��。但是�,由于時間有限,并不是所有漏洞都得到了修復(fù)��。
不法分子可以通過OpenSSL獲取多大64KB的系統(tǒng)內(nèi)存��,這可能會破壞“用于識別服務(wù)運(yùn)營商和用于加密數(shù)據(jù)流�,用戶名,用戶密碼和數(shù)據(jù)內(nèi)容的密鑰����。”
如果Amazon的云部門AWS都使用OpenSSL,而且任由云服務(wù)客戶選擇是否使用OpenSSL�����,那么漏洞的曝光就會讓人感到惶恐�����。
在修復(fù)漏洞的時候,Amazon稱�����,除了US-EAT-1數(shù)據(jù)中心以內(nèi)的Elastic Load Balancer以外�,還已經(jīng)處理了所有受Heartbleed影響的Elastic Load Balancer。
“大部分負(fù)載均衡器都已經(jīng)被更新�����,而且我們繼續(xù)處理負(fù)載均衡器的問題����,希望這些負(fù)載均衡器可以在未來幾小時內(nèi)得到更新。”
同時得到確認(rèn)的還包括���,Amazon已經(jīng)修補(bǔ)了Amazon CloudFront中的漏洞��,而且在幫助AWS Elastic Beanstalk PaaS的少數(shù)客戶解決同樣的問題��。
但是���,其主要運(yùn)算服務(wù)是EC2,那些正在Linux映像上使用OpenSSL的EC2客戶還需要升級映像才能保護(hù)自己����。
作為補(bǔ)充預(yù)警�����,Amazon稱��,其云服務(wù)設(shè)備的管理人員應(yīng)該替換SSL證書,應(yīng)對這個漏洞��。
至于Amazon的競爭對手?是一名谷歌員工曝出的這個漏洞����,所以谷歌Compute Engine是安全的,而微軟Azure云并不使用OpenSSL���。
