JBoss アプリケーションがheartbleedセキュリティ バグに対して脆弱かどうかを判断する最良の方法を知っている人はいますか?
JBoss バージョン 4.0.4 および 5.1.0 を使用しています。
3008 次
1 に答える
4
適切な説明は、セキュリティ StackExchange サイトにあります。リンクされた回答は Tomcat に固有のものですが、JBoss (または他の Java アプリケーション) にも適用できます。Java は SSL/TLS の独自のスタックを実装し、OpenSSL やその他の SSL 実装ライブラリをリレーしないため、短い答えはノーです。
Tomcat は Java で記述されており、Java には独自の割り当てシステム (有名なガベージ コレクター) があり、OpenSSL がブロックを取得するゾーンとはかなり離れて、巨大なブロックによって OS からメモリを取得します。
したがって、ハートブリード バッファ オーバーランによって、Java ベースのオブジェクトとして存在する秘密情報が明らかになる可能性はほとんどありません。ただし、OpenSSL が独自のバッファーを取得するのと同じヒープから割り当てられた情報を取得する場合があります。特に、この脆弱性により、OpenSSL 自体が使用する秘密鍵の一部またはすべてが明らかになる可能性があります。
于 2014-04-09T14:33:46.743 に答える