Perché Apple utilizza una versione precedente di OpenSSL?

16

Con il nuovissimo aggiornamento OS X ( 10.10.5 ), Apple introduce OpenSSL 0.9.8 . Ho sfogliato la pagina ufficiale OpenSSL , e lì ho potuto ottenere la versione 1.0.2 .

La mia domanda è: Perché Apple utilizza una versione precedente di OpenSSL? È a causa di funzioni deprecate nella versione 1.0 o qual è la ragione dietro di esso?

Fonte: pagine di sicurezza Apple

    
posta Bastian Gruber 16.08.2015 - 17:50
fonte

2 risposte

20

Why is Apple using a vulnerable version of OpenSSL?

Non lo è.

Se fai clic sul link che hai postato nella tua domanda, vedrai che questo aggiornamento patch una serie di vulnerabilità che esistono identicamente in OpenSSL 0.9.8, 1.0.0, 1.0.1 e 1.0.2. p>

Quindi, in altre parole, la versione che stai suggerendo in seguito come alternativa, 1.0.2, era altrettanto vulnerabile di 0.9.8, ed entrambi sono stati risolti contemporaneamente.

With the newest OS X Update (10.10.5), Apple is introducing OpenSSL 0.9.8. I browsed through the official OpenSSL page, and there I could get Version 1.0.2.

Apple sta aggiornando OpenSSL a 0.9.8zg, che ha solo 2 mesi e solo 4 settimane più vecchio di 1.0.2d.

My question is: Why is Apple using an older Version of OpenSSL? Is it because of deprecated functions in Version 1.0 or what is the reason behind it?

Questo è qualcosa che dovrai chiedere ad Apple. La mia ipotesi migliore è che la versione 0.9.8 è la versione con cui hanno effettuato i test di compatibilità, e l'aggiornamento a una versione più recente richiederebbe un ciclo di test completamente nuovo per un componente che è comunque deprecato. Dato che è deprecato, il software più recente (che potrebbe fare affidamento su nuove funzionalità) non dovrebbe comunque utilizzarlo, e il software più vecchio che ancora lo usa non usa le nuove funzionalità (perché non esistevano) e potrebbe persino essere rotto da un aggiornamento, quindi perché preoccuparsi?

Finché la community di OpenSSL mantiene ancora il ramo 0.9.8, Apple non deve nemmeno fare il lavoro delle patch di backporting.

Si noti che non è nulla di insolito. Apple ha spedito una vecchia versione di Ruby per un tempo molto lungo e generalmente non si aggiorna durante il ciclo di rilascio, solo tra una release e l'altra. Anche le distribuzioni Linux e le BSD e altre distribuzioni Unix tipicamente non aggiornano le versioni durante una release, applicano solo correzioni di errori e correzioni di sicurezza. Debian, in particolare, in genere non risolve nemmeno tutti i bug, solo le vulnerabilità e i bug di sicurezza che potrebbero comportare la perdita dei dati dell'utente - qualsiasi modifica, anche una bugfix è una potenziale incompatibilità e un potenziale per nuovi bug; i bug noti sono migliori di quelli sconosciuti!

    
risposta data 17.08.2015 - 00:36
fonte
17

OpenSSL è ufficialmente deprecato. Esiste (per quel poco tempo che Apple consente di andare avanti) a non rompere il software che non esegue la migrazione verso l'alternativa di Apple o il bundle SSL internamente con l'app.

Vedi il link dello sviluppatore Apple per l'annuncio di deprecazione: (gli altri link sono più facili da leggere / più sintesi di perché come cosa )

risposta data 16.08.2015 - 18:11
fonte

Leggi altre domande sui tag