任何人都知道确定我的JBoss应用程序是否容易受到heartbleed安全漏洞攻击的最佳方法吗?
我正在使用JBoss版本4.0.4和5.1.0。
答案 0 :(得分:4)
好的explanation位于安全StackExchange网站上。链接的答案特定于Tomcat,但也适用于JBoss(或其他Java应用程序)。简短的回答是否定的,因为Java实现了自己的SSL / TLS堆栈,并且不在OpenSSL或任何其他SSL实现库上进行中继。
Tomcat是用Java编写的,Java有自己的分配系统( 着名的垃圾收集器)从操作系统获取大量内存 块,与OpenSSL获得块的区域完全不同。
因此,心率缓冲区溢出不太可能揭示任何秘密 作为基于Java的对象存在的信息。然而,它可能会获得 从与OpenSSL相同的堆分配的信息 获得自己的缓冲区。特别是,有可能 漏洞可能会泄露部分或全部私钥 OpenSSL本身。