Einzelnen Beitrag anzeigen

tewes

Registriert seit: 31. Jan 2007
12 Beiträge
 
#4

AW: Indy + OpenSSL 1.1.1l

  Alt 2. Sep 2021, 16:04
Nur damit ich es auch verstehe ...
Das Sicherheitsproblem steckt doch nicht in den Indys. Es steckt im OpenSSL.

Als das letzte mal (so weit ich weiß) ein Sicherheitsproblem im OpennSSL aufgetaucht war, hatte es genügt einfach die libeay32.dll + ssleay32.dll durch eine aktualisierte Version auszutauschen und alles war palatti.
Stimmt bis Version 1.0.2u - Dieser Entwicklungszweig wurde eingestellt.

Aktuelle OpenSSL-Versionen (ab 1.1.0) enthalten diese DLLs nicht mehr. "Theoretisch" sollte dies gelten(Die Namensänderung wird nicht alles sein):
libeay32.dll -> libcrypto.dll
ssleay32.dll -> libssl.dll
(https://stackoverflow.com/questions/...enssl-on-windo)

Die "Indys" müssten an das neue Datenmodell(?) angepasst werden.
mezen hat hierzu vorgearbeitet (habe ich aber noch probiert):
https://www.delphipraxis.net/204185-...tls-1-3-a.html

Ganz optimistisch hatte ich gehofft, dass Indy angepasst wird und Embarcadero dies in Version 11 übernimmt bzw. einen Patch für frühere Versionen bereitstellt.
Ist schließlich sicherheitsrelevant...
  Mit Zitat antworten Zitat