После ошибки Heartbleed нам нужно обновить наши библиотеки OpenSSL?

1279
Jerry Dodge

Наше программное обеспечение, которое мы разрабатываем, использует пакет интернет-компонентов Indy в Delphi. Инди имеет возможности для OpenSSL. После инцидента с Heartbleed нам интересно, нужно ли нам действовать.

Мы распространяем 2 DLL с нашим программным обеспечением, которые предназначены для OpenSSL (который использует Indy): ssleay32.dllи libeay32.dll.

Вопрос: Нужно ли нам получать и распространять обновленные / исправленные версии этих DLL? Или это будет исправлено с помощью обновлений Windows?

Это использует Indy версии 10, а библиотеки DLL не имеют никакой информации о версии, просто показывает 1.0.0.0 и дату от 20.09.2010.

По сути, это проблема на уровне программного обеспечения или операционной системы?

0
Вы не предоставили достаточно информации. Вы не указываете, какая версия OpenSSL, используемая вами, только определенные версии уязвимы. Только вы можете определить, используете ли вы уязвимую версию. Если это так, это означает, что вы должны отозвать сертификаты после обновления клиента. Ramhound 10 лет назад 0
Я, честно говоря, ничего не знаю об этом, просто в Indy он встроен, и компонент Indy, который мы используем, требует этих DLL. Кроме того, версия не имеет значения с моим вопросом. Я в основном спрашиваю: проблема в любой версии реализации OpenSLL или что-то в Windows. Jerry Dodge 10 лет назад 0
Вам нужно определить все это, прежде чем мы сможем помочь. Вы не можете просто обновить файлы, если этот компонент, кроме определенной версии, больше не будет работать. Ramhound 10 лет назад 0
@ Ramhound Я знаю, я не могу просто заменить файлы. Пожалуйста, смотрите правки в моем вопросе. Что действительно важно, так это то, требует ли проблема исправления в приложении или операционной системе. Jerry Dodge 10 лет назад 0
Ваши изменения не предоставляют информацию, необходимую для ответа на вопрос. Если вы спрашиваете «или операционную систему», это означает, что вы не понимаете ошибку «Heartbleed». Ramhound 10 лет назад 0
Конечно, я не понимаю этого, поэтому я спрашиваю об этом ... Jerry Dodge 10 лет назад 0
Ну, твой вопрос не об ошибке. Вы спрашиваете, нужно ли обновить программное обеспечение, использующее неизвестную версию библиотеки OpenSSL, чтобы включить версию библиотеки OpenSSL, которая не подвержена этой ошибке. ** Я не могу ответить на этот вопрос, потому что вы не смогли предоставить эту информацию, когда вас об этом попросили. ** Я понятия не имею, какую операционную систему вы используете. Сама Windows не использует OpenSSL ни для чего. OS X, в то время как она распространяет уязвимую версию, сама OS X фактически не использует ее, и некоторое время назад сама библиотека устарела. Ramhound 10 лет назад 0
Возможно, мне следовало бы спросить об этом на более ориентированном на программирование сайте, который знает об Indy, я знаю, что переполнение стека не было бы подходящим местом для этого. Jerry Dodge 10 лет назад 0
Вам все еще нужно будет сообщить нам, какую версию библиотеки OpenSSL определенная версия Indy, которую вы используете, скомпилирована снова. Мы не можем сказать вам, уязвимы ли вы без этой информации. Ramhound 10 лет назад 0

1 ответ на вопрос

1
smooty86

Самая большая проблема с «ошибкой Heartbleed» будет на стороне сервера (веб-сайты). Хотя на клиентов это тоже влияет, гораздо менее вероятно, что кто-то злоупотребит этим.

Вы можете использовать оригинальный дистрибутив SSL Indy по адресу http://indy.fulgan.com/SSL/. Здесь вы можете найти "openssl-1.0.1g", который является последней и исправленной библиотекой. Он должен быть полностью совместим с Indy. Вы можете просто заменить файлы и забыть об этой проблеме.

Похожие вопросы