WinSCPやFileZillaなどのWindowsTLS / SSLファイル転送ソフトウェアのどのバージョンがHeartbleedの影響を受けませんか？

Question

WinSCPやFilezillaのような広範囲に及ぶTLS/SSL対応のWindowsクライアントの悲惨な脆弱性の影響を受けたバージョンをまだ多くの人が使用していることに気づきました。

安全な推奨事項を作成できるように、安全なバージョンのリストが必要です。

おそらく、1.0.1より前のOpenSSLを使用する古いバージョン（ http://heartbleed.com/ を参照）があり、安全に使用できるようです（他に使用しない理由がない場合）。

たとえば、WinSCP 5.5.3（まだリリースされていません）は、TLS/SSLコアをOpenSSL1.0.1gにアップグレードしても安全です。

WinSCP 4.3.7は1.0.1より前のOpenSSLを使用しているため、まだ影響を受けていないようです。誰かがこれを確認できますか？それ以降のバージョンで動作しますか？

Filezillaはどうですか？

Martin Prikryl · Accepted Answer

WinSCPは、それぞれのブランチのバージョン4.3.8および5.0.7ベータ以降、影響を受けるOpenSSL1.0.1を使用していました。

WinSCP 5.5.3は、脆弱性に対処するためにOpenSSL1.0.1gにアップグレードされました。 Branch 4.xはサポートされなくなり、アップグレードされる予定はありません。

OpenSSLは、FTP over TLS/SSLを使用するWinSCPでのみ使用されることに注意してください。 WinSCPユーザーの大多数（約98％）はSSH（SFTP/SCP）とプレーンFTPのみを使用しており、NOT影響を受けました！

FileZillaはバージョン3.0以降OpenSSL 0.9.8dをGnuTLSに置き換えたため、FileZillaの脆弱なバージョンはありません。

幸い、クライアントの脆弱性が悪用される可能性は、サーバーよりも低くなります。クライアントとして、あなたはあなたが接続する場所を担当しています。つまりサーバーに接続しないでください、あなたは信頼していません。