У нас есть серия облачных серверов, на которых работает JBoss AS 6.1.0 Community Edition. Мы ограничиваем доступ к этим системам с помощью SSL. Мы генерируем сертификат SSL для каждого сервера и затем вручную раздаем его персоналу, которому требуется доступ. Сервер является собственным центром сертификации. Сертификат используется не для идентификации сервера для пользователей, а для идентификации пользователей на сервере.
В любом случае, суть: уязвима ли JBoss AS 6.1.0 для Heartbleed? Мы используем openssl для генерации ключей, но насколько я понимаю, JBoss AS использует Tomcat / Coyote для работы с https. Они используют библиотеку OpenSSL? Как я могу пропатчить именно этот компонент JBoss, если это проблема? К сожалению, обновление версии JBoss невозможно.
Java реализует собственный стек SSL / TLS и не передает в OpenSSL или любую другую библиотеку реализации SSL. JBoss полностью написан на Java, поэтому ответ отрицательный, JBoss не подвержен уязвимости Heart Bleed.
Это не имеет ничего общего с JBoss. Вам просто нужно обновить openssl до v1.0.1g или вернуться к v.98. Скорее всего, они используют TLS с OpenSSL.