Quali versioni di OS X sono interessate da Heartbleed?

Quali versioni di OS X sono predefinite con le versioni interessate di OpenSSL ?

Tutto il traffico Internet in questo momento è ostruito con le stesse informazioni generiche relative al bug Heartbleed, senza alcuna attenzione rivolta a Macintosh nell'ambiente. Sto cercando informazioni sul client Mac OS X e sul server Mac OS X. In questo momento non è pratico per me controllare tutti i Mac nell'ambiente per la loro versione specifica di OpenSSL , ma ho già le informazioni sulla versione di Mac OS X per le macchine interessate.

Non sono interessate versioni di OS X (né iOS è interessato). Solo l'installazione di un'app di terze parti o modifiche comporterebbe un programma Mac o OS X con quella vulnerabilità / bug in OpenSSL versione 1.0.x

Apple ha deprecato OpenSSL su OS X a dicembre 2012, se non in precedenza. Nessuna versione di OpenSSL vulnerabile a CVE-2014-0160 (aka Heartbleed Bug )

Apple fornisce diverse interfacce applicative alternative che forniscono SSL agli sviluppatori Mac e ha da dire su OpenSSL:

OpenSSL non fornisce un'API stabile da versione a versione. Per questo motivo, sebbene OS X fornisca le librerie OpenSSL, le librerie OpenSSL in OS X sono obsolete e OpenSSL non è mai stato fornito come parte di iOS. L'uso delle librerie OpenSSL di OS X da parte delle app è fortemente sconsigliato.

In particolare, l'ultima versione di OpenSSL fornita da Apple è OpenSSL 0.9.8y 5 feb 2013 che non sembra avere il bug delle versioni più recenti di OpenSSL trasferite sul codice per la versione Apple della libreria.

Il PDF di questa documentazione contiene alcuni consigli scritti chiaramente per gli sviluppatori e alcune sezioni che sono utili anche per i professionisti o per gli utenti attenti alla sicurezza.

• OpenSSL per sviluppatori Mac e versione PDF della Guida ai servizi di crittografia di Apple

Considerando questo, l'unico problema rimanente sarebbe il software aggiuntivo che è stato creato contro OpenSSL, ad esempio diversi in Homebrew ( brew updateseguito da brew upgrade) o MacPorts ( port self updateseguito da port upgrade openssl) per aggiornare alla versione 1.x patinata di openSSL.

Inoltre, potresti usare mdfind / mdls per controllare i file di nome openssl nel caso in cui tu abbia altre applicazioni che raggruppano quella libreria come Apple consiglia piuttosto che a seconda della versione "sicura" che Apple continua a spedire con OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Ho corso openssl versionsu tutti i Mac che ho potuto mettere le mani su ¹ e tutti mostrano:

OpenSSL 0.9.8y 5 Feb 2013

... compresa l'ultima versione attuale: OS X 10.9.2.

Pertanto, posso concludere che Heartbleed non ha alcuna versione di OS X interessata .

^{1 e anche quelli che non potevo e ho appena avuto SSH - comunque testati, le macchine di produzione sono importanti! Tutto sommato ho testato circa 30 macchine con varie versioni di OS X.}

Mentre OS X non viene fornito con le versioni interessate di OpenSSL, è comunque fortemente consigliato di farlo openssl versionnel caso in cui uno possa essere stato installato come parte di un pacchetto di terze parti.

Ad esempio, il mio computer ha segnalato OpenSSL 1.0.1f 6 Jan 2014perché era stato incluso come dipendenza per qualcosa che avevo installato tramite MacPorts. sudo port upgrade outdatedrisolto questo, ovviamente.