4月10日消息, Amazon現(xiàn)在正對(duì)AWS所托管的基礎(chǔ)設(shè)施中的Heartbleed內(nèi)存泄露問(wèn)題進(jìn)行修復(fù)。
周二,Amazon確認(rèn),其基礎(chǔ)設(shè)施的某些部分存在OpenSSL 1.0.1漏洞,俗稱Heartbleed,Amazon已經(jīng)在周一完成了漏洞修復(fù)。但是,由于時(shí)間有限,并不是所有漏洞都得到了修復(fù)。
不法分子可以通過(guò)OpenSSL獲取多大64KB的系統(tǒng)內(nèi)存,這可能會(huì)破壞“用于識(shí)別服務(wù)運(yùn)營(yíng)商和用于加密數(shù)據(jù)流,用戶名,用戶密碼和數(shù)據(jù)內(nèi)容的密鑰。”
如果Amazon的云部門AWS都使用OpenSSL,而且任由云服務(wù)客戶選擇是否使用OpenSSL,那么漏洞的曝光就會(huì)讓人感到惶恐。
在修復(fù)漏洞的時(shí)候,Amazon稱,除了US-EAT-1數(shù)據(jù)中心以內(nèi)的Elastic Load Balancer以外,還已經(jīng)處理了所有受Heartbleed影響的Elastic Load Balancer。
“大部分負(fù)載均衡器都已經(jīng)被更新,而且我們繼續(xù)處理負(fù)載均衡器的問(wèn)題,希望這些負(fù)載均衡器可以在未來(lái)幾小時(shí)內(nèi)得到更新。”
同時(shí)得到確認(rèn)的還包括,Amazon已經(jīng)修補(bǔ)了Amazon CloudFront中的漏洞,而且在幫助AWS Elastic Beanstalk PaaS的少數(shù)客戶解決同樣的問(wèn)題。
但是,其主要運(yùn)算服務(wù)是EC2,那些正在Linux映像上使用OpenSSL的EC2客戶還需要升級(jí)映像才能保護(hù)自己。
作為補(bǔ)充預(yù)警,Amazon稱,其云服務(wù)設(shè)備的管理人員應(yīng)該替換SSL證書,應(yīng)對(duì)這個(gè)漏洞。
至于Amazon的競(jìng)爭(zhēng)對(duì)手?是一名谷歌員工曝出的這個(gè)漏洞,所以谷歌Compute Engine是安全的,而微軟Azure云并不使用OpenSSL。