Какие версии программного обеспечения для передачи файлов Windows TLS / SSL, такие как WinSCP и FileZilla, не подвержены воздействию Heartbleed?

2814
mit

Я заметил, что многие люди все еще используют версии, затронутые уязвимой уязвимостью широко распространенных клиентов Windows с поддержкой TLS / SSL, таких как WinSCP и Filezilla.

Чтобы иметь возможность давать безопасные рекомендации, я хочу иметь список с безопасными версиями.

Вероятно, есть старые версии, которые используют OpenSSL до 1.0.1 (см. Http://heartbleed.com/ ), которые кажутся безопасными для использования (если нет других причин не использовать их).

Например, WinSCP 5.5.3 (еще не выпущенный) будет безопасным с ядром TLS / SSL, обновленным до OpenSSL 1.0.1g.

WinSCP 4.3.7, кажется, еще не затронут, потому что он имеет OpenSSL до 1.0.1, кто-то может подтвердить это, и есть ли более поздняя версия, которая работает?

Как насчет Filezilla?

2
PuTTY? PuTTY вообще не поддерживает _any_ SSL ... grawity 10 лет назад 3
ОК, я удалил замазку, спасибо mit 10 лет назад 0
Filezilla использует GnuTLS для своей реализации TLS, поэтому Heartbleed на него не влияет. heavyd 10 лет назад 2
До текущего выпуска OpenSSL нет версий, которые следует использовать, поскольку более ранние версии уязвимы. Ramhound 10 лет назад 1
Список ответов Heartbleed от программного обеспечения и проектов сервера передачи файлов размещен здесь: [http://www.filetransferconsulting.com/managed-file-transfer-heartbleed-ftp-server/](http://www.filetransferconsulting. com / managed-file-Transfer-Heartbleed-FTP-сервер /) (Некоторые подвержены, многие нет.) user87481 10 лет назад 0

1 ответ на вопрос

5
Martin Prikryl

WinSCP used the affected OpenSSL 1.0.1 since versions 4.3.8 and 5.0.7 beta in respective branches.

WinSCP 5.5.3 upgraded to the OpenSSL 1.0.1g to address the vulnerability. Branch 4.x is not supported anymore and is not planned to be upgraded.

Note that OpenSSL is used by WinSCP with FTP over TLS/SSL only. Majority (about 98%) of WinSCP users use SSH (SFTP/SCP) and plain FTP only and are NOT affected!

The vulnerability is tracked here:
https://winscp.net/tracker/1151

FileZilla replaced OpenSSL 0.9.8d with GnuTLS since version 3.0, so there is no vulnerable version of FileZilla.


Fortunately an exploit of the vulnerability in clients is less probable than in servers. As a client you are in charge of where you connect to. I.e. do not connect to servers, you do not trust.