La vulnerabilità di HeartBleed riguarda i server Apache Tomcat che utilizzano Tomcat Native?

In base al documento a cui sei collegato, il connettore APR

• Uses OpenSSL for TLS/SSL capabilities (if supported by linked APR library)

Pertanto, sarebbe ragionevole presumere che la Tomcat Native Library sarebbe vulnerabile al bug Heartbleed. Tuttavia, le condizioni sono diverse, perché Tomcat è scritto in Java e Java ha un proprio sistema di allocazione (il famoso garbage collector) che ottiene memoria dal sistema operativo da enormi blocchi, a parte le zone in cui OpenSSL ottiene i suoi blocchi.

Pertanto, è improbabile che il sovraccarico del buffer heartbleed sveli informazioni segrete che esistono come oggetti basati su Java. Può, tuttavia, ottenere informazioni che sono allocate dallo stesso heap di dove OpenSSL ottiene i propri buffer. In particolare, è possibile che la vulnerabilità può rivelare parte o tutta la chiave privata utilizzata da OpenSSL stesso.

Ho un server tomcat 7.0.29 su Windows che risulta vulnerabile nelle scansioni heartbleed di qualis. Sta usando l'APR con questa configurazione di connettore in server.xml:

Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
URIEncoding="UTF-8"
port="443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
SSLCertificateFile="${catalina.base}/conf/ssl/XXXX.cer" 
SSLCertificateKeyFile="${catalina.base}/conf/ssl/XXXX.key"
SSLCertificateChainFile="${catalina.base}/conf/ssl/XXXX.cer"
SSLPassword="XXXX"
clientAuth="optional" 
SSLProtocol="ALL" 
SSLCipherSuite="ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA"

Brian

Ecco il un link ai binari tcnative-1.1.29 per Windows rispettati contro apr-1.5.0, openssl-1.0.1g. Ciò è conforme a VC 2008, quindi è necessario il ridistribuibile Microsoft Visual C ++ 2008 per Windows 2003 o XP. I file di Juan Calero non includevano win32 e sono stati accolti contro VC 2010. Uno o l'altro potrebbe servire meglio le tue proposte. Devi solo fermare tomcat, sostituire tcnative-1.dll e poi avviare tomcat.

Credo che Tomcat non sia vulnerabile a un heartbleed out of the box.

Sì, la libreria APR è collegata e SSLEngine è attivo.

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

Ma se si guarda il file di configurazione server.xml di una distribuzione tomcat predefinita, il connettore SSL utilizza JSSE non la libreria APR.

<!-- Define a SSL HTTP/1.1 Connector on port 8443
     This connector uses the BIO implementation that requires the JSSE
     style configuration. When using the APR/native implementation, the
     OpenSSL style configuration is required as described in the APR/native
     documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" />
-->

Quindi non dovrebbe essere sfruttato tramite Heartbleed. A meno che tu non abbia modificato manualmente il connettore SSL per utilizzare l'APR, penso che sia sicuro dire che non sei vulnerabile.

A proposito di chi conosci qualche tester offline per il cuore?

link

Saluti,

Alex L.