Jboss
JBoss AS 6 是否容易受到 Heartbleed 的影響?
我們有一系列執行 JBoss AS 6.1.0 社區版的雲伺服器。我們使用 SSL 限制對這些系統的訪問。我們為每台伺服器生成一個 SSL 證書,然後手動將其分發給需要訪問的人員。伺服器是它自己的證書頒發機構。證書不是用於向使用者辨識伺服器,而是用於向伺服器辨識使用者。
無論如何,重點是:JBoss AS 6.1.0 是否容易受到 Heartbleed 的影響?我們使用 openssl 來生成密鑰,但據我所知,JBoss AS 使用 Tomcat/Coyote 來完成它的 https 工作。他們使用 OpenSSL 庫嗎?如果有問題,我該如何專門修補 JBoss 的這個組件?不幸的是,升級 JBoss 版本不是一種選擇。
Java 實現了自己的 SSL/TLS 堆棧,並且不依賴於 OpenSSL 或任何其他 SSL 實現庫。JBoss 完全用 Java 編寫,所以答案是否定的,JBoss 不受 Heart Bleed 漏洞的影響。
它與 JBoss 無關。您只需將您的 openssl 升級到 v1.0.1g 或回退到 v.98。他們極有可能將 TLS 與 OpenSSL 一起使用。