* Я хотел бы спросить о двух сценариях, в которых уязвимая версия OpenSSL установлена на сервере, но этот сервер не предоставляет услуги SSL.
Сценарий 1. У меня установлен сертификат SSL на балансировщике нагрузки, за которым находится ферма серверов IIS. Heartbleed не влияет на IIS, и порт 443 там отключен. Но мы обнаруживаем, что балансировщик нагрузки уязвим. Какие аспекты Heartbleed повлияют на нас?
Сценарий 2: В этом сценарии балансировщик нагрузки НЕ уязвим. Опять же, у балансировщика нагрузки установлен сертификат. Но за ним находится ферма серверов, на которых запущен PHP, с установленной и включенной уязвимой версией OpenSSL - возможно, потому, что это требует другое расширение или кто-то включил его, не задумываясь. Порт 443 также отключен на этих серверах. Какие аспекты Heartbleed повлияют на нас?
Насколько я понимаю, в Сценарии 1 наши ключи и данные, передаваемые по сети на серверы и с серверов, подвергаются риску перехвата. Однако содержание приложение IIS серверная память не подвергнется риску раскрытия.
Опять же, исходя из моего понимания, которое может быть неправильным, в сценарии 2 риска нет.
Может ли кто-нибудь проверить или исправить мои предположения?
Heartbleed позволяет открывать память с сервера, на котором работает [уязвимая версия] OpenSSL, во время TLS-соединения. Итак, чтобы Heartbleed можно было использовать, на сервере должна быть установлена уязвимая версия OpenSSL. И принимать соединения TLS.
Следовательно, в сценарии 1 вы рискуете получить доступ к памяти вашего балансировщика нагрузки, поскольку это сервер, на котором работает OpenSSL.
В сценарии 2, предполагая, что ваш сценарий настроен так, что соединение TLS не может быть выполнено с этими серверами, ничто не является уязвимым. Невозможно установить соединение TLS, поэтому уязвимые версии OpenSSL не могут быть использованы.