我们有一系列运行 JBoss AS 6.1.0 社区版的云服务器。我们使用 SSL 限制对这些系统的访问。我们为每台服务器生成 SSL 证书,然后手动将其分发给需要访问权限的人员。服务器是其自己的证书颁发机构。证书不是用于向用户识别服务器,而是用于向服务器识别用户。
无论如何,重点是:JBoss AS 6.1.0 是否容易受到 Heartbleed 攻击?我们使用 openssl 来生成密钥,但据我所知,JBoss AS 使用 Tomcat/Coyote 来执行其 https 操作。他们使用 OpenSSL 库吗?如果存在问题,我该如何专门修补 JBoss 的这个组件?不幸的是,升级 JBoss 版本不是一种选择。
答案1
Java 实现了自己的 SSL/TLS 堆栈,不依赖 OpenSSL 或任何其他 SSL 实现库。JBoss 完全用 Java 编写,因此答案是否定的,JBoss 不受 Heart Bleed 漏洞的影响。
答案2
这与 JBoss 无关。您只需将 openssl 升级到 v1.0.1g 或回退到 v.98。他们很可能将 TLS 与 OpenSSL 结合使用。