Na jakie wersje OS X wpływa Heartbleed?

Które wersje OS X są domyślnie dostarczane z wersjami OpenSSL, której dotyczy problem ?

Cały ruch internetowy jest teraz zatkany tymi samymi ogólnymi informacjami na temat błędu Heartbleed, bez zwracania uwagi na środowisko Macintosh. Szukam informacji o kliencie Mac OS X, a także serwerze Mac OS X. Obecnie sprawdzanie wszystkich komputerów Mac w środowisku pod kątem konkretnej wersji OpenSSL jest dla mnie niepraktyczne , ale mam już informacje o wersji Mac OS X dla komputerów, których dotyczy problem.

Nie dotyczy to żadnej wersji systemu OS X (ani iOS). Tylko zainstalowanie aplikacji lub modyfikacji innej firmy spowodowałoby usterkę / błąd w systemie Mac lub OS X w OpenSSL w wersji 1.0.x

Firma Apple wycofała OpenSSL w systemie OS X w grudniu 2012 r., Jeśli nie wcześniej. Brak wersji OpenSSL, która byłaby podatna na CVE-2014-0160 (znany również jako Heartbleed Bug )

Apple udostępnia kilka alternatywnych interfejsów aplikacji, które zapewniają SSL programistom komputerów Mac i ma to do powiedzenia na temat OpenSSL:

OpenSSL nie zapewnia stabilnego API od wersji do wersji. Z tego powodu, mimo że OS X zapewnia biblioteki OpenSSL, biblioteki OpenSSL w OS X są przestarzałe, a OpenSSL nigdy nie był dostarczany jako część iOS. Korzystanie z bibliotek OpenSSL w OS X przez aplikacje jest zdecydowanie odradzane.

W szczególności najnowsza wersja OpenSSL dostarczana przez Apple to OpenSSL 0.9.8y 5 lutego 2013, która nie wydaje się zawierać błędu z nowszych wersji OpenSSL z powrotem przeniesionego do kodu dla biblioteki Apple'a.

Plik PDF tej dokumentacji zawiera jasno napisane porady dla programistów oraz niektóre sekcje przydatne dla profesjonalistów lub użytkowników dbających o bezpieczeństwo.

• OpenSSL dla programistów Mac i wersja PDF Przewodnika usług kryptograficznych Apple

Biorąc to pod uwagę, jedynym pozostałym problemem byłoby dodatkowe oprogramowanie, które zostało zbudowane przeciwko OpenSSL, np. Kilka w Homebrew ( brew updatenastępnie brew upgrade) lub MacPorts ( port self updatenastępnie port upgrade openssl) w celu aktualizacji do łatanej wersji 1.SS openSSL.

Możesz także użyć mdfind / mdls do sprawdzenia plików o nazwie openssl w przypadku, gdy masz inne aplikacje, które pakują tę bibliotekę zgodnie z zaleceniami Apple, zamiast polegać na „bezpiecznej” wersji, którą Apple nadal dostarcza z OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Uruchomiłem openssl versionna każdym komputerze Mac, w którym mogłem dostać ^1, a wszystkie pokazują:

OpenSSL 0.9.8y 5 Feb 2013

… W tym aktualna najnowsza wersja: OS X 10.9.2.

Dlatego mogę stwierdzić, że Heartbleed nie wpływa na żadną wersję OS X.

^{1, a także te, których nie mogłem i właśnie miałem SSH - mimo to wciąż testowane, maszyny produkcyjne są ważne! W sumie przetestowałem około 30 maszyn z różnymi wersjami OS X.}

Chociaż system OS X nie jest dostarczany z wydanymi przez OpenSSL wersjami, których dotyczy problem, nadal zaleca się zrobienie tego openssl versionw przypadku, gdyby ktoś mógł zostać zainstalowany jako część pakietu innej firmy.

Na przykład mój komputer zgłosił się, OpenSSL 1.0.1f 6 Jan 2014ponieważ został uwzględniony jako zależność od czegoś, co zainstalowałem za pośrednictwem MacPorts. sudo port upgrade outdatedoczywiście to rozwiązało.