Como obter a versão do OpenSSL em uma instalação do Tomcat 6

Navegue suas respostas
2

Depois de ler o artigo mencionado abaixo, entendo que é uma boa prática verificar qual versão do OpenSSL está sendo usada pelo Tomcat.

link

No artigo há esta frase:

Qual versão do OpenSSL está usando o Tomcat?

Esta informação é registrada por AprLifecycleListener quando o Tomcat é iniciado. Por exemplo, 

10-Apr-2014 19:25:28.801 INFO [main] org.apache.catalina.core.AprLifecycleListener.init Loaded APR based Apache Tomcat Native library 1.1.30 using APR version 1.4.8.
10-Apr-2014 19:25:28.804 INFO [main] org.apache.catalina.core.AprLifecycleListener.init APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
10-Apr-2014 19:25:29.955 INFO [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL OpenSSL successfully initialized (OpenSSL 1.0.1g 7 Apr 2014)

Eu passei algumas horas, mas não consigo encontrar essas informações nos registros do Tomcat. Existe algum outro lugar onde eu tenho que olhar? Existe alguma outra maneira de saber isso?

Estou no Windows Server 2003, no Tomcat 6. Tentei baixar o nível de log para "Info" e, em seguida, "Debug" para reiniciar o servidor da Web sem obter essas informações.

    
por Ziba Leah 29.04.2014 / 09:17

1 resposta

1

A versão do Tomcat não é relevante aqui, é a versão do tcnative-1.dll que você está usando O mais recente é o Tomcat Native 1.1.30. Esta é a correção de bug heartbleed lançada em 15 de abril de 2014.

No Windows: Verifique as propriedades do tcnative-1.dll para identificar a versão.

Se você tinha o 1.1.23 ou anterior, então você está seguro contra esta vulnerabilidade em particular. Se você estava em 1.1.24-1.1.29, então você pode estar vulnerável.

Se você usar o JSSE padrão para seu suporte SSL, provavelmente não será afetado de qualquer maneira, independentemente da versão do OpenSSL que o seu Tomcat tenha. Alterar manualmente o conector SSL para usar o APR pode torná-lo vulnerável.

Editar

Para visualizar o ambiente na inicialização

Edite $ CATALINA_BASE \ bin \ setenv.bat (criando o arquivo, se necessário) e adicione o caminho para as bibliotecas nativas tc, apr e OpenSSL para PATH. Por exemplo: 

set PATH=%PATH;C:\cygwin\home\support\tomcat-native-current-win32-src\jni\native\Debug;C:\cygwin\home\support\tomcat-native-current-win32-src\jni\apr\Debug;C:\OpenSSL\lib\VC

Quais versões do OpenSSL são afetadas? Status de diferentes versões do OpenSSL:

OpenSSL 1.0.1 até 1.0.1f (inclusive) são vulneráveis OpenSSL 1.0.1g NÃO é vulnerável OpenSSL 1.0.0 branch NÃO é vulnerável OpenSSL 0.9.8 branch NÃO é vulnerável O Bug foi introduzido no OpenSSL em dezembro de 2011 e está disponível no mercado desde a versão 1.0.1 do OpenSSL em 14 de março de 2012. O OpenSSL 1.0.1g lançado em 7 de abril de 2014 corrige o bug.

Ref:

    
por 29.04.2014 / 13:32

Tags

VPNC cisco + erro de resposta rápida do modo rejeitado Bully para auditoria sem fio WPS: é possível continuar um teste de PIN interrompido --bruteforce?