Какие версии программного обеспечения для передачи файлов Windows TLS/SSL, такие как WinSCP и FileZilla, не подвержены воздействию Heartbleed?

Question

Я заметил, что многие люди все еще используют версии, затронутые уязвимой уязвимостью широко распространенных клиентов Windows с поддержкой TLS/SSL, таких как WinSCP и Filezilla.

Чтобы иметь возможность давать безопасные рекомендации, я хочу иметь список с безопасными версиями.

Вероятно, есть старые версии, которые используют OpenSSL до 1.0.1 (см. Http://heartbleed.com/), которые кажутся безопасными для использования (если нет других причин не использовать их).

Например, WinSCP 5.5.3 (еще не выпущенный) будет безопасным с ядром TLS/SSL, обновленным до OpenSSL 1.0.1g.

WinSCP 4.3.7, кажется, еще не затронут, потому что он имеет OpenSSL до 1.0.1, кто-то может подтвердить это и есть ли более поздняя версия, которая работает?

Как насчет Filezilla?

Answer 1

WinSCP использовал уязвимую версию OpenSSL 1.0.1 начиная с версий 4.3.8 и 5.0.7 бета в соответствующих ветках.

WinSCP 5.5.3 обновлен до OpenSSL 1.0.1g для устранения этой уязвимости. Ветка 4.x больше не поддерживается и не планируется обновлять.

Обратите внимание, что OpenSSL используется WinSCP с FTP только по TLS/SSL. Большинство (около 98%) пользователей WinSCP используют только SSH (SFTP/SCP) и обычный FTP и НЕ подвержены влиянию!

Уязвимость отслеживается здесь:
https://winscp.net/tracker/1151

FileZilla заменила OpenSSL 0.9.8d на GnuTLS начиная с версии 3.0, поэтому уязвимой версии FileZilla не существует.

---

К счастью, использование уязвимости в клиентах менее вероятно, чем в серверах. Как клиент, вы отвечаете за то, где вы подключаетесь. Т.е. не подключаться к серверам, вы не доверяете.