Назад | Перейти на главную страницу

Какие версии win32 tcnative-1.dll подвержены утечке сердца

Мы пытаемся определить наше окно уязвимости для Heartbleed. Кто-нибудь знает, как определить, какая версия OpenSSL использовалась для создания данной собственной DLL Tomcat?

На нашем сервере был Tomcat 6 (не уверен, какая версия tcnative-1.dll, но пытаюсь ее отследить), обновленный до Tomcat 7 (с tcnative-1.dll версии 1.1.27).

Я нигде не могу найти информацию о том, какие версии tcnative-1.dll были связаны с какими версиями openssl.

В журнале изменений Apache нет этой информации, а в документации есть веб-сайт с DLL, с которой он связан, но нет информации о том, какую из 17 версий он использовал.

Чтобы найти версию OpenSSL, используемую tcnative-1.dll, вам необходимо перейти в папку \ bin и выполнить следующий запрос из командной строки (для Windows) find "OpenSSL" tcnative-1.dll

Примечание. Используйте соответствующий запрос grep для систем Linux.

Вы также можете найти версию openssl, загруженную через tomcat, в файлах logs \ catalina.log. Это печатается, когда apr инициализируется и загружает его.

Как только вы определили версию openssl с помощью описанной выше техники, вы можете проверить уязвимость с помощью http://en.wikipedia.org/wiki/Heartbleed#Affected_OpenSSL_installations

Ответ можно увидеть в этой записи bugzilla проекта apache tomcat:

https://issues.apache.org/bugzilla/show_bug.cgi?id=56363

Затронутые версии: с 1.1.24 по 1.1.29 (последняя на данный момент официально).

Для версий, начиная с 1.1.23 (которые были связаны с openssl 1.0.0g), вы найдете файл VERSIONS внутри двоичных пакетов Windows, которые вы можете загрузить из архива tomcat, которые предоставляют информацию о библиотеках.

Более ранние версии tcnative-1 содержат как минимум пакет openssl.exe, у которого можно запросить информацию о версии с помощью команды "версия".