l’ordinateur
  1. l’ordinateur
  3. Quelles versions du logiciel de transfert de fichiers TLS / SSL Windows comme WinSCP et FileZilla ne sont pas affectées par Heartbleed?
Intereting Posts
Comment faire de Google Search scriptless avec NoScript / AdBlock? Coller du texte enrichi avec le formage Comment puis-je échapper aux espaces dans la ligne de commande de Windows sans utiliser de guillemets? Développement MacBook Pro pour Windows via la virtualisation. Performance? Comment puis-je interdire la création d'un itinéraire dans Windows XP lors de la connexion à Cisco VPN? Routeur / passerelle basée sur PC qui prend en charge l'interception légale? L'installation de Samsung Kies échoue sur mon ordinateur portable Windows 7 Quelle est la différence entre "CONNECT" et "GET HTTPS"? Est-il préférable de démarrer deux fois ou d'exécuter une machine virtuelle? Comment forcer Chrome à ouvrir tous les liens dans l'onglet actuel? Svchost.exe en utilisant beaucoup de mémoire ralentissant mon PC vers le bas Disque dur externe reconnu, Comment conserver les données Besoin de la date d'aujourd'hui pour remplir automatiquement une cellule lorsque les données sont entrées dans une autre cellule Les boutons arrière et avancés de l'Explorateur Windows Téléchargement de pages Web complètes (pas de sites)

Quelles versions du logiciel de transfert de fichiers TLS / SSL Windows comme WinSCP et FileZilla ne sont pas affectées par Heartbleed?

J'ai remarqué que beaucoup de personnes utilisaient toujours des versions affectées par la vulnérabilité chrétienne des clients Windows TLS / SSL à large diffusion tels que WinSCP et Filezilla.

Pour pouvoir faire des recommandations sûres, je souhaite avoir une liste avec des versions sécurisées.

Probablement, il existe d'anciennes versions qui utilisent OpenSSL avant 1.0.1 (voir http://heartbleed.com/ ) qui semblent sécurisées à utiliser (s'il n'y a pas d'autres raisons de ne pas les utiliser).

Par exemple WinSCP 5.5.3 (non encore publié) sera sécurisé avec TLS / SSL core mis à niveau vers OpenSSL 1.0.1g.

WinSCP 4.3.7 semble ne pas encore être affecté car il possède OpenSSL avant 1.0.1, quelqu'un peut-il le confirmer et y a-t-il une version ultérieure?

Qu'en est-il de Filezilla?

WinSCP a utilisé l'OpenSSL 1.0.1 affecté depuis les versions 4.3.8 et 5.0.7 bêta dans les branches respectives.

WinSCP 5.5.3 a été mis à niveau vers OpenSSL 1.0.1g pour résoudre la vulnérabilité. La branche 4.x n'est plus prise en charge et n'est pas prévue pour être mise à niveau.

Notez que OpenSSL est utilisé par WinSCP avec FTP uniquement sur TLS / SSL. La majorité (environ 98%) des utilisateurs de WinSCP utilisent SSH (SFTP / SCP) et un FTP simple et ne sont PAS affectés!

La vulnérabilité est suivie ici:
https://winscp.net/tracker/show_bug.cgi?id=1151

FileZilla a remplacé OpenSSL 0.9.8d par GnuTLS depuis la version 3.0, donc il n'existe aucune version vulnérable de FileZilla.

Heureusement, un exploit de la vulnérabilité chez les clients est moins probable que dans les serveurs. En tant que client, vous êtes responsable de l'endroit où vous vous connectez. C'est-à-dire que vous ne vous connectez pas aux serveurs, vous ne faites pas confiance.