Müssen wir nach dem Heartbleed-Fehler unsere OpenSSL-DLLs aktualisieren?

1415
Jerry Dodge

Unsere von uns entwickelte Software verwendet die Internetkomponenten-Suite Indy in Delphi. Indy verfügt über Funktionen für OpenSSL. Seit dem Heartbleed-Vorfall fragen wir uns, ob wir etwas unternehmen müssen.

Wir vertreiben 2 DLLs mit unserer Software, die für OpenSSL (die Indy verwendet): ssleay32.dllund libeay32.dll.

Frage: Müssen wir aktualisierte / korrigierte Versionen dieser DLLs erhalten und verteilen? Oder wird dies mit Windows-Updates gepatcht?

Dies verwendet Indy Version 10, und die DLLs enthalten keine Versionsinformationen. Es wird nur 1.0.0.0 und ein Datum vom 20.09.2010 angezeigt.

Ist das Problem im Wesentlichen auf der Software- oder Betriebssystemebene?

0
Sie haben nicht genügend Informationen bereitgestellt. Sie geben nicht an, welche Version von OpenSSL Sie verwenden, nur bestimmte Versionen sind anfällig. Nur Sie können feststellen, ob Sie eine anfällige Version verwenden. In diesem Fall sollten Sie die Zertifikate nach der Aktualisierung des Clients widerrufen. Ramhound vor 10 Jahren 0
Ich weiß ehrlich gesagt nichts davon, nur dass Indy es integriert hat und eine Indy-Komponente, die wir verwenden, benötigt diese DLLs. Die Version spielt auch bei meiner Frage keine Rolle. Im Grunde frage ich mich, ob das Problem in irgendeiner Version einer OpenSLL-Implementierung oder in Windows auftaucht. Jerry Dodge vor 10 Jahren 0
Sie müssen all das feststellen, bevor wir helfen können. Sie können die Dateien nicht einfach aktualisieren, wenn diese Komponente außer einer bestimmten Version nicht mehr funktioniert. Ramhound vor 10 Jahren 0
@Ramhound Ich weiß, ich kann die Dateien nicht einfach ersetzen. Bitte beachten Sie die Änderungen in meiner Frage. Was wirklich zählt, ist, ob das Problem Korrekturen in der Anwendung oder im Betriebssystem erfordert. Jerry Dodge vor 10 Jahren 0
Ihre Änderungen enthalten nicht die Informationen, die ich zur Beantwortung der Frage benötige. Wenn Sie nach "oder dem Betriebssystem" fragen, bedeutet dies, dass Sie den `Heartbleed'-Fehler nicht verstehen. Ramhound vor 10 Jahren 0
Natürlich verstehe ich es nicht, deshalb frage ich danach ... Jerry Dodge vor 10 Jahren 0
Nun, deine Frage betrifft nicht den Fehler. Ihre Frage, ob Ihre Software, die eine unbekannte Version der OpenSSL-Bibliothek verwendet, aktualisiert werden muss, um eine Version der OpenSSL-Bibliothek aufzunehmen, die nicht anfällig für diesen Fehler ist. ** Ich kann diese Frage nicht beantworten, weil Sie diese Informationen nicht zur Verfügung stellen konnten, wenn Sie danach gefragt wurden. ** Ich habe keine Ahnung, welches Betriebssystem Sie verwenden. Windows selbst verwendet OpenSSL nicht für irgendetwas. OS X verteilt zwar eine verwundbare Version, OS X selbst verwendet sie jedoch nicht und die Bibliothek selbst wurde vor einiger Zeit abgewertet. Ramhound vor 10 Jahren 0
Vielleicht hätte ich das in einer eher programmierungsorientierten Website fragen sollen, die über Indy Bescheid weiß. Ich weiß, dass Stack Overflow nicht der richtige Ort gewesen wäre, um dies zu fragen. Jerry Dodge vor 10 Jahren 0
Sie müssen uns noch mitteilen können, mit welcher Version der OpenSSL-Bibliothek die von Ihnen verwendete Indy-Version erneut kompiliert wird. Wir können Ihnen nicht sagen, ob Sie ohne diese Informationen anfällig sind. Ramhound vor 10 Jahren 0

1 Antwort auf die Frage

1
smooty86

Das größte Problem mit "Heartbleed Bug" wird auf der Serverseite (Websites) sein. Obwohl auch Kunden betroffen sind, ist es viel weniger möglich, dass jemand dies missbraucht.

Sie können die ursprüngliche Indy-SSL-Verteilung von Indy unter http://indy.fulgan.com/SSL/ verwenden. Sie finden "openssl-1.0.1g". Hier finden Sie die neuesten und festen Bibliotheken. Es sollte vollständig mit Indy kompatibel sein. Sie können Dateien einfach ersetzen und dieses Problem vergessen.