我们正在尝试确定 Heartbleed 的漏洞窗口。有人知道如何确定使用哪个版本的 OpenSSL 来构建给定的 Tomcat Native DLL 吗?
我们的服务器上曾安装有 Tomcat 6(不确定 tcnative-1.dll 是哪个版本,但正在尝试追踪它),已升级到 Tomcat 7(tcnative-1.dll 版本为 1.1.27)。
我无法在任何地方找到有关 tcnative-1.dll 的哪些版本与 openssl 的哪些版本相链接的信息。
Apache 更新日志没有此信息,并且文档提供了一个包含其链接的 DLL 的网站,但没有关于它使用了 17 个版本中的哪一个的信息。
答案1
从apache tomcat项目的这个bugzilla条目中可以看到答案:
https://issues.apache.org/bugzilla/show_bug.cgi?id=56363
受影响的版本为 1.1.24 至 1.1.29(目前官方发布的最后一个版本)。
对于自 1.1.23 以来的版本(与 openssl 1.0.0g 链接),您会在可以从 tomcat 档案中下载的 Windows 二进制包中找到一个 VERSIONS 文件,该文件提供有关库的信息。
早期的 tcnative-1 版本至少包含一个捆绑的 openssl.exe,可以使用命令“version”查询版本信息。
答案2
要查找 tcnative-1.dll 使用的 OpenSSL 版本,您需要导航到 \bin 文件夹并从命令提示符发出以下查询(适用于 Windows)
find "OpenSSL" tcnative-1.dll
注意:使用适合 Linux 系统的 grep 查询
另外,您还可以在 logs\catalina.log 文件中找到通过 tomcat 加载的 openssl 版本。当 apr 初始化并加载时,会打印此信息。
一旦你使用上述技术确定了 openssl 版本,你就可以通过以下方式验证漏洞http://en.wikipedia.org/wiki/Heartbleed#Affected_OpenSSL_installations