Какие версии программного обеспечения для передачи файлов Windows TLS/SSL, такие как WinSCP и FileZilla, не подвержены воздействию Heartbleed?
Я заметил, что многие люди до сих пор используют версии, затронутые уязвимой уязвимостью широко распространенных клиентов Windows с поддержкой TLS/SSL, таких как WinSCP и Filezilla.
Чтобы иметь возможность давать безопасные рекомендации, я хочу иметь список с безопасными версиями.
Вероятно, есть старые версии, которые используют OpenSSL до 1.0.1 (см. http://heartbleed.com/), которые кажутся безопасными для использования (если нет других причин не использовать их).
Например, WinSCP 5.5.3 (еще не выпущенный) будет безопасным с ядром TLS/SSL, обновленным до OpenSSL 1.0.1g.
WinSCP 4.3.7, кажется, еще не затронут, потому что он имеет OpenSSL до 1.0.1, кто-то может подтвердить это и есть ли более поздняя версия, которая работает?
Как насчет Filezilla?
1 ответ
WinSCP использовал уязвимую версию OpenSSL 1.0.1 начиная с версий 4.3.8 и 5.0.7 бета в соответствующих ветках.
WinSCP 5.5.3 обновлен до OpenSSL 1.0.1g для устранения этой уязвимости. Ветка 4.x больше не поддерживается и не планируется обновлять.
Обратите внимание, что OpenSSL используется WinSCP с FTP через TLS/SSL только. Большинство (около 98%) пользователей WinSCP используют только SSH (SFTP/SCP) и обычный FTP и НЕ подвержены влиянию!
Уязвимость отслеживается здесь:
https://winscp.net/tracker/1151
FileZilla заменила OpenSSL 0.9.8d на GnuTLS начиная с версии 3.0, поэтому уязвимой версии FileZilla не существует.
К счастью, использование уязвимости в клиентах менее вероятно, чем в серверах. Как клиент, вы отвечаете за то, где вы подключаетесь. Т.е. не подключаться к серверам, вы не доверяете.