Quali versioni di OS X sono interessate da Heartbleed?

55

Quali versioni di OS X sono predefinite con le versioni interessate di OpenSSL ?

Tutto il traffico Internet in questo momento è ostruito con le stesse informazioni generiche relative al bug Heartbleed, senza alcuna attenzione a Macintosh nell'ambiente. Sto cercando informazioni sul client Mac OS X e sul server Mac OS X. In questo momento non è pratico per me controllare tutti i Mac nell'ambiente per la loro versione specifica di OpenSSL , ma ho già il Informazioni sulla versione di Mac OS X per i computer interessati.

    
posta MDMoore313 08.04.2014 - 19:41
fonte

3 risposte

63

Nessuna versione di OS X è interessata (né iOS è interessato). L'installazione di un'app o di una modifica di terzi comporterà l'esecuzione di un programma Mac o OS X con tale vulnerabilità / bug in OpenSSL versione 1.0.x

Apple ha dichiarato OpenSSL su OS X a dicembre 2012, se non prima. Nessuna versione di OpenSSL vulnerabile a CVE-2014-0160 ( alias Bug Heartbleed )

Apple fornisce diverse interfacce applicative alternative che forniscono SSL agli sviluppatori Mac e ha questo da dire su OpenSSL:

OpenSSL does not provide a stable API from version to version. For this reason, although OS X provides OpenSSL libraries, the OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS. Use of the OS X OpenSSL libraries by apps is strongly discouraged.

In particolare, l'ultima versione di OpenSSL spedita da Apple è OpenSSL 0.9 .8y 5 febbraio 2013 che non sembra avere il bug delle versioni più recenti di OpenSSL riportato sul codice per la versione di Apple della libreria.

Il PDF di questa documentazione ha alcuni consigli chiaramente scritti per gli sviluppatori e alcune sezioni utili per i professionisti o per gli utenti orientati alla sicurezza.

Considerando questo, l'unico problema rimasto sarebbe il software aggiuntivo che è stato costruito contro OpenSSL, ad es. diversi in Homebrew ( brew update seguito da brew upgrade ) o MacPorts ( port self update seguito da port upgrade openssl ) per l'aggiornamento alla versione 1.x corretta di openSSL.

Inoltre, puoi usare mdfind / mdls per controllare i file di nome openssl nel caso in cui tu abbia altre applicazioni che raggruppano quella libreria come raccomanda Apple piuttosto che in base alla versione "sicura" Apple viene ancora fornita con OS X.

for ff in 'mdfind kMDItemFSName = "openssl"'; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
    
risposta data 08.04.2014 - 20:49
fonte
16

Ho eseguito openssl version su ogni Mac in cui ho potuto mettere le mani su 1 e tutti mostrano:

OpenSSL 0.9.8y 5 Feb 2013

... inclusa l'ultima versione attuale: OS X 10.9.2.

Pertanto posso concludere che nessuna versione di OS X è interessata da Heartbleed.

1 e anche quelli che non ho potuto e ho appena avuto SSH - comunque testato, le macchine di produzione sono importanti! Tutto sommato ho testato circa 30 macchine con varie versioni di OS X.

    
risposta data 08.04.2014 - 19:51
fonte
10

Sebbene OS X non sia distribuito con le versioni interessate di OpenSSL, è comunque strongmente incoraggiato a fare un openssl version nel caso in cui uno possa essere stato installato come parte di alcuni pacchetti di terze parti.

Ad esempio, il mio computer ha riportato OpenSSL 1.0.1f 6 Jan 2014 perché era stato incluso come dipendenza per qualcosa che avevo installato tramite MacPorts. sudo port upgrade outdated ha risolto questo problema, naturalmente.

    
risposta data 08.04.2014 - 23:55
fonte

Leggi altre domande sui tag