Microsoft: i servizi cloud di Azure sono al sicuro dalla vulnerabilità Heartbleed

Sistemi OperativiWorkspace

Heartbleed , la biennale falla di OpenSSL non tocca la piattaforma cloud Azure. Google ha corso ai ripari

Microsoft ha qualcosa di rassicurante da condividere in questa crisi legata a Heartbleed , almeno per gli utenti dei servizi cloud di Azure. Nel parlare delle preoccupazioni riguardo alla falla di OpenSSL e dei suoi potenziali effetti sui servizi cloud, il gigante del software ha rivelato che Azure è al scuro da Heartbleed.

Il direttore dell’unità Security Incident Response di Microsoft Azure ha confermato inoltre che sull’implementazione di Windows di SSL/TLS (Secure Sockets Layer/Transfer Layer Security) non c’è nessun impatto da parte della vulnerabilità di OpenSSL. Microsoft non utilizza OpenSSL per i collegamenti SSL su Web Sites, Pack Web Sites e Web Roles di Azure. Windows dispone di un suo componente di encryption chiamato Secure Channel che non è soggetto alla vulnerabilità di Heartbleed. Ma non tutti i clienti di Azure sono al sicuro.

heartbleed

Il clienti che fanno girare immagini Linux sulle macchine virtuali di Azure o software che utilizza Open SSL possono essere esposti alle vulnerabilità. Infatti Open SSL è usato comunemente sui server a base Linux. Microsoft ha aggiunto il supporto alle macchine virtuali Linux su Azure ( prima Windows Azure) nel 2012.

La settimana scorsa non è stato un buon periodo per Internet in generale , dopo la rivelazione della vulnerabilità legata all’encryption chiamata Heartbleed presente in Open SSL da almeno due anni. Secondo alcune stime la vulnerabilità colpisce almeno due terzi dei siti web mondiali, una stima che ha messo in massima allerta provider di Internet, di e-commerce e cloud computing. La vulnerabilità è presente nella versione 1.0.1 del servizio di encryption open source SSL . Se messo a frutto con un exploit i server e i client web potrebbero potenzialmente far sanguinare ( bleed) i contenuti dei dati conservati in memoria. La falla è stata chiusa con l’update 1.0.1g.

surveyssl

Google ha a sua volta riconosciuto la vulnerabilità e applicato le patch necessarie ai servizi come Search, Gmail, YouTube, Wallet, Play, Apps e App Engine. Chrome, Chrome OS e Android ( con l’eccezione di Android 4.1.1 Jelly Bean) non sono toccati. Una correzione per Google Search Appliance è in arrivo , mentre i clienti che utilizzano Google Compute Engine devono aggiornare manualmente le loro istanze SSL.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore