2

После прочтения упомянутой ниже статьи я понимаю, что рекомендуется проверять, какая версия OpenSSL Tomcat используется.

https://wiki.apache.org/tomcat/Security/Heartbleed

В статье есть это предложение:

Какую версию OpenSSL использует Tomcat?

Эта информация регистрируется AprLifecycleListener при запуске Tomcat. Например,

10-Apr-2014 19:25:28.801 INFO [main] org.apache.catalina.core.AprLifecycleListener.init Loaded APR based Apache Tomcat Native library 1.1.30 using APR version 1.4.8.
10-Apr-2014 19:25:28.804 INFO [main] org.apache.catalina.core.AprLifecycleListener.init APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
10-Apr-2014 19:25:29.955 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL OpenSSL successfully initialized (OpenSSL 1.0.1g 7 Apr 2014)

Я провел пару часов, но я не могу найти эту информацию в журналах котов. Есть ли другое место, где я должен посмотреть? Есть ли другой способ узнать это?

Я на Windows Server 2003, Tomcat 6. Я попытался снизить уровень журнала до "Info", а затем до "Debug", перезапуская веб-сервер без получения этой информации.

|источник

1 ответ1

1

Версия Tomcat здесь не актуальна, это версия tcnative-1.dll, которую вы используете. Последняя версия Tomcat Native 1.1.30. Это исправленное сообщение об ошибке, выпущенное 15 апреля 2014 года.

Из Windows: проверьте свойства tcnative-1.dll, чтобы определить версию.

Если у вас версия 1.1.23 или более ранняя, то вы защищены от этой конкретной уязвимости. Если вы были на 1.1.24-1.1.29, то вы можете быть уязвимы.

Если вы используете JSSE по умолчанию для поддержки SSL, то на вас, вероятно, это никак не повлияет, независимо от того, какую версию OpenSSL имеет ваш Tomcat. Изменение вручную коннектора SSL для использования APR может сделать вас уязвимым.

редактировать

Для просмотра среды при запуске

Отредактируйте $ CATALINA_BASE\bin\setenv.bat (создавая файл при необходимости) и добавьте путь к библиотекам tc-native, apr и OpenSSL в PATH. Например:

set PATH=%PATH;C:\cygwin\home\support\tomcat-native-current-win32-src\jni\native\Debug;C:\cygwin\home\support\tomcat-native-current-win32-src\jni\apr\Debug;C:\OpenSSL\lib\VC

Какие версии OpenSSL затронуты? Состояние разных версий OpenSSL:

OpenSSL 1.0.1 - 1.0.1f (включительно) уязвимы OpenSSL 1.0.1g НЕ уязвимы Ветвь OpenSSL 1.0.0 НЕ уязвима Ветвь OpenSSL 0.9.8 НЕ уязвима Ошибка была введена в OpenSSL в декабре 2011 года и была опубликована в с момента выпуска OpenSSL 1.0.1 14 марта 2012 года. OpenSSL 1.0.1g, выпущенный 7 апреля 2014 года, исправляет ошибку.

Ref:

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .