JBoss AS 6 是否容易受到 Heartbleed 的影響？

我們有一系列執行 JBoss AS 6.1.0 社區版的雲伺服器。我們使用 SSL 限制對這些系統的訪問。我們為每台伺服器生成一個 SSL 證書，然後手動將其分發給需要訪問的人員。伺服器是它自己的證書頒發機構。證書不是用於向使用者辨識伺服器，而是用於向伺服器辨識使用者。

無論如何，重點是：JBoss AS 6.1.0 是否容易受到 Heartbleed 的影響？我們使用 openssl 來生成密鑰，但據我所知，JBoss AS 使用 Tomcat/Coyote 來完成它的 https 工作。他們使用 OpenSSL 庫嗎？如果有問題，我該如何專門修補 JBoss 的這個組件？不幸的是，升級 JBoss 版本不是一種選擇。

Java 實現了自己的 SSL/TLS 堆棧，並且不依賴於 OpenSSL 或任何其他 SSL 實現庫。JBoss 完全用 Java 編寫，所以答案是否定的，JBoss 不受 Heart Bleed 漏洞的影響。

它與 JBoss 無關。您只需將您的 openssl 升級到 v1.0.1g 或回退到 v.98。他們極有可能將 TLS 與 OpenSSL 一起使用。

引用自：https://serverfault.com/questions/587666