Amazon現(xiàn)在正對(duì)AWS所托管的基礎(chǔ)設(shè)施中的Heartbleed內(nèi)存泄露問題進(jìn)行修復(fù)。

[[111352]]

周二，Amazon確認(rèn)，其基礎(chǔ)設(shè)施的某些部分存在OpenSSL 1.0.1漏洞，俗稱Heartbleed，Amazon已經(jīng)在周一完成了漏洞修復(fù)。但是，由于時(shí)間有限，并不是所有漏洞都得到了修復(fù)。

不法分子可以通過OpenSSL獲取多大64KB的系統(tǒng)內(nèi)存，這可能會(huì)破壞“用于識(shí)別服務(wù)運(yùn)營商和用于加密數(shù)據(jù)流，用戶名，用戶密碼和數(shù)據(jù)內(nèi)容的密鑰。”

如果Amazon的云部門AWS都使用OpenSSL，而且任由云服務(wù)客戶選擇是否使用OpenSSL，那么漏洞的曝光就會(huì)讓人感到惶恐。

在修復(fù)漏洞的時(shí)候，Amazon稱，除了US-EAT-1數(shù)據(jù)中心以內(nèi)的Elastic Load Balancer以外，還已經(jīng)處理了所有受Heartbleed影響的Elastic Load Balancer。

“大部分負(fù)載均衡器都已經(jīng)被更新，而且我們繼續(xù)處理負(fù)載均衡器的問題，希望這些負(fù)載均衡器可以在未來幾小時(shí)內(nèi)得到更新。”

同時(shí)得到確認(rèn)的還包括，Amazon已經(jīng)修補(bǔ)了Amazon CloudFront中的漏洞，而且在幫助AWS Elastic Beanstalk PaaS的少數(shù)客戶解決同樣的問題。

但是，其主要運(yùn)算服務(wù)是EC2，那些正在Linux映像上使用OpenSSL的EC2客戶還需要升級(jí)映像才能保護(hù)自己。

作為補(bǔ)充預(yù)警，Amazon稱，其云服務(wù)設(shè)備的管理人員應(yīng)該替換SSL證書，應(yīng)對(duì)這個(gè)漏洞。

至于Amazon的競爭對(duì)手?是一名谷歌員工曝出的這個(gè)漏洞，所以谷歌Compute Engine是安全的，而微軟Azure云并不使用OpenSSL。