glassfish-3 - GlassFish 3 は暗号化に OpenSSL を使用しますか?

Question

GlassFish 3 は暗号化に OpenSSL を使用しますか? 当社のセキュリティ スタッフは、Heartbleed の脆弱性を懸念しています。

Answer 1

おそらく、オープン ソース版と Oracle 版を区別する必要があります。後者の Heartbleed 脆弱性に対する答えは「いいえ」ですが、Oracle Glassfish のバージョンでは何らかの方法で OpenSSL を使用しています。

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html

1.0 OpenSSL を使用しているが、 CVE-2014-0160 の影響を受けなかった Oracle 製品

...

Oracle GlassFish Server 3.xx [製品 ID 8493]

...

Sun GlassFish Enterprise Server 2.x [製品 ID 8493]

この製品では、OpenSSL のバージョンが古い必要があります。