任何人都知道确定我的 JBoss 应用程序是否易受heartbleed安全漏洞影响的最佳方法吗?
我正在使用 JBoss 版本 4.0.4 和 5.1.0。
问问题
3008 次
1 回答
4
安全 StackExchange 站点上有一个很好的解释。链接的答案特定于 Tomcat,但也适用于 JBoss(或其他 Java 应用程序)。简短的回答是否定的,因为 Java 实现了自己的 SSL/TLS 堆栈,并且不依赖于 OpenSSL 或任何其他 SSL 实现库。
Tomcat 是用 Java 编写的,Java 有自己的分配系统(著名的垃圾收集器),它通过大块从操作系统获取内存,与 OpenSSL 获取其块的区域相距甚远。
因此,heartbleed 缓冲区溢出不太可能泄露任何作为基于 Java 的对象存在的秘密信息。但是,它可能会获得从与 OpenSSL 获得自己的缓冲区相同的堆分配的信息。特别是,该漏洞可能会泄露 OpenSSL 本身使用的部分或全部私钥。
于 2014-04-09T14:33:46.743 回答