HeartBleed漏洞是否会影响使用Tomcat本机的Apache服务器？

Question

使用Tomcat本机和APR的Apache服务器是否易受HeartBleed OpenSSL错误的攻击，还是该层隔离它们？http://tomcat.apache.org/native-doc/

HeartBleed OpenSSL bug信息：http://heartbleed.com/

在我的Apache Tomcat服务器上，我有：

• 易受攻击的OpenSSL版本
• 建立和安装APR
• 使用--with和-with构建和安装Tomcat本机
• Tomcat直接处理请求。端口443上的连接器配置有属性SSLEnabled、SSLProtocol、SSLCipherSuite、SSLCertificateFile、SSLCertificateKeyFile、SSLCertificateChainFile
  • SSLProtocol="-ALL +SSLv3 3+TLSv1 1“
  • SSLCipherSuite="ALL:!aNULL:!eNULL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT“

问题：

• Tomcat、APR或Tomcat的版本对漏洞有影响吗？
• SSLProtocol或SSLCipherSuite值会影响漏洞吗？

Answer 1

根据您链接到的文档，APR连接器

• 使用OpenSSL进行TLS/SSL功能(如果由链接APR库支持)

因此，可以合理地假设Tomcat原生库容易受到心脏出血bug的攻击。但是，情况不同，因为Tomcat是用Java编写的，而且Java有自己的分配系统(著名的垃圾收集器)，它通过巨大的块从操作系统获得内存，与OpenSSL获取其块的区域完全不同。

因此，心脏出血缓冲区溢出不太可能泄露任何作为基于Java的对象存在的秘密信息。但是，它可以获得与OpenSSL获得自己的缓冲区相同的堆分配的信息。特别是，该漏洞可能暴露OpenSSL本身使用的部分或全部私钥。

Answer 2

下面是针对apr-1.5.0和openssl-1.0.1g编写的链接 to tc本机-1.1.29二进制文件。这是针对VC 2008编写的，因此您将需要MicrosoftVisualWindows2008Windows2003或XP的C++ 2008可再发行版。胡安·卡莱罗的文件不包括win32，是针对VC 2010的。一方或另一方可能会更好地为你的建议服务。您只需停止tomcat，替换tc本地-1.dll，然后启动tomcat。

Answer 3

我相信猫不容易受到心脏出血的伤害。

是的，APR库是链接的，SSLEngine是打开的。

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

但是，如果您查看默认tomcat部署的server.xml配置文件，它的SSL连接器使用的是JSSE，而不是APR库。

<!-- Define a SSL HTTP/1.1 Connector on port 8443
     This connector uses the BIO implementation that requires the JSSE
     style configuration. When using the APR/native implementation, the
     OpenSSL style configuration is required as described in the APR/native
     documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" />
-->

所以它不应该通过心脏出血而被利用。除非您手动更改SSL连接器以使用APR，否则我认为可以安全地说，您不会受到攻击。

说到哪一个你知道任何离线测试的心脏出血？

http://alexluca.com/2014/04/10/heartbleed-and-tomcat-out-of-the-box-ssl-config/

致以敬意，

亚历克斯湖