it-swarm-ja.com

WinSCPやFileZillaなどのWindowsTLS / SSLファイル転送ソフトウェアのどのバージョンがHeartbleedの影響を受けませんか?

WinSCPやFilezillaのような広範囲に及ぶTLS/SSL対応のWindowsクライアントの悲惨な脆弱性の影響を受けたバージョンをまだ多くの人が使用していることに気づきました。

安全な推奨事項を作成できるように、安全なバージョンのリストが必要です。

おそらく、1.0.1より前のOpenSSLを使用する古いバージョン( http://heartbleed.com/ を参照)があり、安全に使用できるようです(他に使用しない理由がない場合)。

たとえば、WinSCP 5.5.3(まだリリースされていません)は、TLS/SSLコアをOpenSSL1.0.1gにアップグレードしても安全です。

WinSCP 4.3.7は1.0.1より前のOpenSSLを使用しているため、まだ影響を受けていないようです。誰かがこれを確認できますか?それ以降のバージョンで動作しますか?

Filezillaはどうですか?

2
mit

WinSCPは、それぞれのブランチのバージョン4.3.8および5.0.7ベータ以降、影響を受けるOpenSSL1.0.1を使用していました。

WinSCP 5.5.3は、脆弱性に対処するためにOpenSSL1.0.1gにアップグレードされました。 Branch 4.xはサポートされなくなり、アップグレードされる予定はありません。

OpenSSLは、FTP over TLS/SSLを使用するWinSCPでのみ使用されることに注意してください。 WinSCPユーザーの大多数(約98%)はSSH(SFTP/SCP)とプレーンFTPのみを使用しており、NOT影響を受けました!

脆弱性はここで追跡されます:
https://winscp.net/tracker/1151

FileZillaはバージョン3.0以降OpenSSL 0.9.8dをGnuTLSに置き換えたため、FileZillaの脆弱なバージョンはありません。


幸い、クライアントの脆弱性が悪用される可能性は、サーバーよりも低くなります。クライアントとして、あなたはあなたが接続する場所を担当しています。つまりサーバーに接続しないでください、あなたは信頼していません。

5
Martin Prikryl