WinSCPやFilezillaのような広範囲に及ぶTLS/SSL対応のWindowsクライアントの悲惨な脆弱性の影響を受けたバージョンをまだ多くの人が使用していることに気づきました。
安全な推奨事項を作成できるように、安全なバージョンのリストが必要です。
おそらく、1.0.1より前のOpenSSLを使用する古いバージョン( http://heartbleed.com/ を参照)があり、安全に使用できるようです(他に使用しない理由がない場合)。
たとえば、WinSCP 5.5.3(まだリリースされていません)は、TLS/SSLコアをOpenSSL1.0.1gにアップグレードしても安全です。
WinSCP 4.3.7は1.0.1より前のOpenSSLを使用しているため、まだ影響を受けていないようです。誰かがこれを確認できますか?それ以降のバージョンで動作しますか?
Filezillaはどうですか?
WinSCPは、それぞれのブランチのバージョン4.3.8および5.0.7ベータ以降、影響を受けるOpenSSL1.0.1を使用していました。
WinSCP 5.5.3は、脆弱性に対処するためにOpenSSL1.0.1gにアップグレードされました。 Branch 4.xはサポートされなくなり、アップグレードされる予定はありません。
OpenSSLは、FTP over TLS/SSLを使用するWinSCPでのみ使用されることに注意してください。 WinSCPユーザーの大多数(約98%)はSSH(SFTP/SCP)とプレーンFTPのみを使用しており、NOT影響を受けました!
脆弱性はここで追跡されます:
https://winscp.net/tracker/1151
FileZillaはバージョン3.0以降OpenSSL 0.9.8dをGnuTLSに置き換えたため、FileZillaの脆弱なバージョンはありません。
幸い、クライアントの脆弱性が悪用される可能性は、サーバーよりも低くなります。クライアントとして、あなたはあなたが接続する場所を担当しています。つまりサーバーに接続しないでください、あなたは信頼していません。