我们有一系列运行JBoss AS 6.1.0社区版的云服务器。 我们限制使用SSL访问这些系统。 我们为每个服务器生成一个SSL证书,然后手动分发给需要访问的人员。 服务器是它自己的证书颁发机构。 该证书不用于向用户标识服务器,而是用于向服务器标识用户。
无论如何,重点是:JBoss AS 6.1.0容易受到Heartbleed? 我们使用openssl来生成密钥,但是从我所了解的JBoss AS使用Tomcat / Coyote来完成它的https操作。 他们使用OpenSSL库吗? 如果出现问题,我该如何修补这个JBoss组件? 不幸的是,升级JBoss版本不是一个选项。
Java实现自己的SSL / TLS堆栈,并且不在OpenSSL或任何其他SSL实现库上中继。 JBoss完全是用Java编写的,所以答案是否定的,JBoss不受Heart Bleed漏洞的影响。
这与JBoss无关。 你只需要升级你的openssl到v1.0.1g或者回到v.98。 他们极有可能使用OpenSSL的TLS。