我们开发的软件使用 Delphi 中的 Indy 互联网组件套件。Indy 具有 OpenSSL 功能。自从发生 Heartbleed 事件以来,我们一直在考虑是否需要采取行动。
我们随软件分发了 2 个 DLL,分别用于 OpenSSL(Indy 使用):ssleay32.dll和libeay32.dll。
问题:我们是否需要获取并分发这些 DLL 的更新/修复版本?或者是否可以使用 Windows 更新进行修补?
这是使用 Indy 版本 10,并且 DLL 没有任何版本信息,只显示 1.0.0.0 和日期 2010 年 9 月 20 日。
本质上,问题是出在软件层面还是操作系统层面?
答案1
“Heartbleed 漏洞”最大的问题在于服务器端(网站)。虽然客户端也会受到影响,但被滥用的可能性很小。
您可以使用来自的 Indy 原始 SSL 发行版 http://indy.fulgan.com/SSL/ 您可以在此处找到“openssl-1.0.1g”,这是最新的固定库。它应该与 Indy 完全兼容。您只需替换文件即可解决此问题。