"OpenSSL 1.01 - затронутая одна производственная версия - была доставка с 12 марта 2012 года"
Значит ли это (выше), что сервер Windows 2012 R2, который мы заказали месяц назад, теперь работающий с HTTPS-сайтами в IIS, уязвим для атак Heartbleed?
Я прочитал сообщение, которое предлагает проверить, является ли ваш сервер уязвимым, используя этот сайт http://filippo.io/Heartbleed/, но он, вероятно, принимает тонну хитов прямо сейчас, поскольку он не отвечает.
IIS не уязвим, так как он не использует библиотеку OpenSSL
Обновление, цитируйте Troy Hunt:
Не все веб-серверы зависят от OpenSSL. Например, IIS использует реализацию Microsoft SCanelel, которая не подвержена риску этой ошибки. Означает ли это, что сайты на IIS не уязвимы для Heartbleed? По большей части, да, но не слишком дерзким, потому что OpenSSL все еще может присутствовать в ферме серверов.
Подробнее здесь - http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
Обновление 2:
Сообщение о блоге Microsoft в IIS и Heartbleed: http://blogs.technet.com/b/erezs_iis_blog/archive/2014/04/09/information-about-heartbleed-and-iis.aspx
Я только что использовал http://filippo.io/Heartbleed/ для сканирования веб-сайта, который мы размещаем в Win 2008 IIS7. - SSL завершается на сервере Windows напрямую (без устройства балансировки нагрузки с разгрузкой SSL между ними) - он считается уязвимым. Подобные тесты сайтов, размещенных на Win 2012 с IIS8, не имеют одинакового результата (не отображаются как уязвимые).
Изменить (добавлена ссылка на форум MS): http://social.technet.microsoft.com/Forums/en-US/93a24775-6f62-4690-8c86-3652b74c1b4f/openssl-vulnerability?forum=Forefrontedgegeneral