Мы пытаемся определить наше окно уязвимости для Heartbleed. Кто-нибудь знает, как определить, какая версия OpenSSL использовалась для создания данной собственной DLL Tomcat?
На нашем сервере был Tomcat 6 (не уверен, какая версия tcnative-1.dll, но пытаюсь ее отследить), обновленный до Tomcat 7 (с tcnative-1.dll версии 1.1.27).
Я нигде не могу найти информацию о том, какие версии tcnative-1.dll были связаны с какими версиями openssl.
В журнале изменений Apache нет этой информации, а в документации есть веб-сайт с DLL, с которой он связан, но нет информации о том, какую из 17 версий он использовал.
Чтобы найти версию OpenSSL, используемую tcnative-1.dll, вам необходимо перейти в папку \ bin и выполнить следующий запрос из командной строки (для Windows) find "OpenSSL" tcnative-1.dll
Примечание. Используйте соответствующий запрос grep для систем Linux.
Вы также можете найти версию openssl, загруженную через tomcat, в файлах logs \ catalina.log. Это печатается, когда apr инициализируется и загружает его.
Как только вы определили версию openssl с помощью описанной выше техники, вы можете проверить уязвимость с помощью http://en.wikipedia.org/wiki/Heartbleed#Affected_OpenSSL_installations
Ответ можно увидеть в этой записи bugzilla проекта apache tomcat:
https://issues.apache.org/bugzilla/show_bug.cgi?id=56363
Затронутые версии: с 1.1.24 по 1.1.29 (последняя на данный момент официально).
Для версий, начиная с 1.1.23 (которые были связаны с openssl 1.0.0g), вы найдете файл VERSIONS внутри двоичных пакетов Windows, которые вы можете загрузить из архива tomcat, которые предоставляют информацию о библиотеках.
Более ранние версии tcnative-1 содержат как минимум пакет openssl.exe, у которого можно запросить информацию о версии с помощью команды "версия".