我注意到许多人仍然在使用受到广泛传播的支持 TLS/SSL 的 Windows 客户端(如 WinSCP 和 Filezilla)的 heartbleed 漏洞影响的版本。
为了能够提出安全的建议,我希望有一个安全版本的列表。
可能存在使用 1.0.1 之前的 OpenSSL 的旧版本(请参阅http://heartbleed.com/) 看起来可以安全使用(如果没有其他理由不使用它们)。
例如,将 TLS/SSL 核心升级到 OpenSSL 1.0.1g 后,WinSCP 5.5.3(尚未发布)将是安全的。
WinSCP 4.3.7 似乎尚未受到影响,因为它具有 1.0.1 之前的 OpenSSL,有人可以证实这一点吗?是否有可以使用的更高版本?
Filezilla 怎么样?
答案1
温SCP自版本 4.3.8 和 5.0.7 beta 以来,在各自的分支中使用受影响的 OpenSSL 1.0.1。
WinSCP 5.5.3 已升级至 OpenSSL 1.0.1g 以解决该漏洞。分支 4.x 不再受支持,并且不打算升级。
请注意,WinSCP 仅通过 TLS/SSL 与 FTP 一起使用 OpenSSL。多数(约 98%)的 WinSCP 用户仅使用 SSH(SFTP/SCP)和普通 FTP,并且不受影响!
该漏洞的跟踪位置如下:
https://winscp.net/tracker/1151
档案从 3.0 版本开始用 GnuTLS 替换了 OpenSSL 0.9.8d,因此 FileZilla 不再存在易受攻击的版本。
幸运的是,客户端漏洞被利用的可能性比服务器要小。作为客户端,您可以控制连接到哪里。也就是说,不要连接到您不信任的服务器。