Welche Versionen der Windows TLS / SSL-Dateiübertragungssoftware wie WinSCP und FileZilla sind von Heartbleed nicht betroffen?

2886
mit

Mir ist aufgefallen, dass viele Leute immer noch Versionen verwenden, die von der schwachen Verwundbarkeit weit verbreiteter TLS / SSL-fähiger Windows-Clients wie WinSCP und Filezilla betroffen sind.

Um sichere Empfehlungen geben zu können, möchte ich eine Liste mit sicheren Versionen haben.

Wahrscheinlich gibt es alte Versionen, die OpenSSL vor 1.0.1 (siehe http://heartbleed.com/ ) verwenden und die sicher zu sein scheinen (wenn es keine anderen Gründe gibt, sie nicht zu verwenden).

Zum Beispiel wird WinSCP 5.5.3 (noch nicht veröffentlicht) mit einem auf OpenSSL 1.0.1g aktualisierten TLS / SSL-Core sicher.

WinSCP 4.3.7 scheint noch nicht betroffen zu sein, da es OpenSSL vor 1.0.1 hat. Kann jemand dies bestätigen und gibt es eine neuere Version, die funktioniert?

Was ist mit Filezilla?

2
Kitt? PuTTY unterstützt _any_ SSL überhaupt nicht ... grawity vor 10 Jahren 3
OK, ich habe den Spachtel entfernt, danke mit vor 10 Jahren 0
Filezilla verwendet GnuTLS für seine TLS-Implementierung, sodass Heartbleed nicht betroffen ist. heavyd vor 10 Jahren 2
Vor der aktuellen Version von OpenSSL gibt es keine Versionen, die verwendet werden sollten, da frühere Versionen anfällig sind. Ramhound vor 10 Jahren 1
Eine Liste der Heartbleed-Antworten von File-Transfer-Server-Software und -Projekten wurde hier veröffentlicht: [http://www.filetransferconsulting.com/managed-file-transfer-heartbleed-ftp-server/(hdp://www.filetransferconsulting. com / managed-file-transfer-heartbleed-ftp-server /) (Einige sind betroffen, viele nicht.) user87481 vor 10 Jahren 0

1 Antwort auf die Frage

5
Martin Prikryl

WinSCP verwendete die betroffene OpenSSL 1.0.1 seit den Versionen 4.3.8 und 5.0.7 in den jeweiligen Branchen.

WinSCP 5.5.3 hat auf OpenSSL 1.0.1g aktualisiert, um die Sicherheitsanfälligkeit zu beheben. Branch 4.x wird nicht mehr unterstützt und ein Upgrade ist nicht geplant.

Beachten Sie, dass OpenSSL nur von WinSCP mit FTP über TLS / SSL verwendet wird. Die Mehrheit (etwa 98%) der WinSCP-Benutzer verwendet nur SSH (SFTP / SCP) und nur FTP und ist NICHT betroffen!

Die Sicherheitslücke wird hier verfolgt:
https://winscp.net/tracker/1151

FileZilla hat OpenSSL 0.9.8d seit Version 3.0 durch GnuTLS ersetzt, sodass es keine anfällige Version von FileZilla gibt.

Glücklicherweise ist ein Ausnutzen der Sicherheitsanfälligkeit in Clients weniger wahrscheinlich als in Servern. Als Kunde sind Sie dafür verantwortlich, wo Sie eine Verbindung herstellen. Dh stellen Sie keine Verbindung zu Servern her, denen Sie nicht vertrauen.

Verwandte Probleme