Microsoft Azure 與 OpenSSL 資安漏洞

自 2014 年4月7日 OpenSSL 代號 Heartbleed (CVE-2014-0160) 資安漏洞公告後,陸續又發布了數項其它資安漏洞 (https://www.openssl.org/news/vulnerabilities.html),許多客戶都欲了解這幾次資安漏洞是否會影響微軟的產品,特別是 Microsoft Azure。Microsoft Azure 與大多數 Microsoft 服務是使用微軟公司實作之 Windows SSL/TLS,因此不會受到 OpenSSL 相關資安漏洞的影響。Microsoft Azure Websites 以及 Microsoft Azure Cloud Services Web Role 都未使用 OpenSSL 來實作 SSL 協定,微軟公司使用自己實作之加密元件 Secure Channel (常縮寫為 SChannel) 來支援 SSL 所需的加解密機制。然而 Microsoft Azure Virtual Machines 的用戶可以選擇多種版本之 Linux 作業系統,多數 Linux 作業系統採用 OpenSSL 來提供加密功能,由於 Microsoft Azure Virtual Machines 用戶需要自行維護作業系統相關修補,請用戶關注各 Linux distribution 所發布之相關資安訊息。