OS X'in hangi sürümleri Heartbleed'den etkilenir?

OpenSSL'nin etkilenen sürümleriyle hangi OS X sürümleri varsayılan olarak gelir ?

Şu anda tüm İnternet trafiği, Heartbleed böceği ile ilgili olarak aynı genel bilgi ile çevrede Macintosh'a hiç dikkat edilmeden tıkanmıştır. Mac OS X istemcisinin yanı sıra Mac OS X sunucusuyla ilgili bilgi arıyorum. Şu anda ortamdaki tüm Mac'leri kendi OpenSSL sürümlerine göre denetlemem pratik değil, ancak etkilenen makineler için zaten Mac OS X sürüm bilgisine sahibim.

OS X sürümleri etkilenmez (iOS etkilenmez). Yalnızca üçüncü taraf bir uygulama veya değişiklik yapılması, OpenSSL sürüm 1.0.x’te bu güvenlik açığını / hatayı içeren bir Mac veya OS X programına neden olur

Apple, daha önce olmasa da, Aralık 2012'de OS X'te OpenSSL'yi kullanımdan kaldırmıştı. CVE-2014-0160’a (aka Heartbleed Böceği ) karşı hassas olan hiçbir OpenSSL sürümü

Apple, Mac geliştiricilerine SSL sağlayan ve OpenSSL hakkında söyleyecekleri çeşitli alternatif uygulama arayüzleri sunar:

OpenSSL, versiyondan versiyona kararlı bir API sağlamamaktadır. Bu nedenle, OS X, OpenSSL kütüphaneleri sağlamasına rağmen, OS X'teki OpenSSL kütüphaneleri kullanımdan kaldırılmıştır ve OpenSSL hiçbir zaman iOS'un bir parçası olarak sağlanmamıştır. OS X OpenSSL kütüphanelerinin uygulamalar tarafından kullanılması kesinlikle önerilmez.

Özellikle, son Apple tarafından sevk OpenSSL sürümü olan OpenSSL 0.9.8y 5 Şubat 2013 kütüphanenin Apple'ın sürümü için koduna geri taşınmış OpenSSL yeni sürümlerinden hata var görünmemektedir.

Bu belgenin PDF'si, geliştiriciler için açıkça yazılı bir tavsiye ve profesyoneller veya güvenlikle ilgilenen kullanıcılar için yararlı olan bazı bölümler içermektedir.

• Mac Geliştiricileri için OpenSSL ve Apple'ın Şifreleme Hizmetleri Kılavuzunun PDF sürümü

Bunu göz önünde bulundurarak, geriye kalan tek sorun OpenSSL'ye karşı oluşturulan ek yazılımlar, örneğin, OpenSSL'in yamalı 1.x sürümüne güncellemek için birkaç Homebrew ( brew updatearkasından brew upgrade) veya MacPorts'ta ( port self updateardından port upgrade openssl).

Ayrıca, Apple'ın hala OS X ile birlikte verdiği "güvenli" sürümüne bağlı olmak yerine, bu kitaplığı Apple tarafından önerilen şekilde paketleyen başka uygulamalarınız varsa, openssl adlı dosyaları kontrol etmek için mdfind / mdls komutunu kullanabilirsiniz.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Ben yayınlandıktan openssl versionellerimi alabilir her Mac Ben ¹ ve bunlardan gösteri hepsi:

OpenSSL 0.9.8y 5 Feb 2013

… En son sürümle birlikte: OS X 10.9.2.

Bu nedenle , OS X sürümünün Heartbleed'den etkilenmediği sonucuna varabilirim.

^{1 ve ayrıca yapamadığım ve sadece SSH olanları - yine de test edildi, üretim makineleri önemlidir! Sonuçta, çeşitli OS X sürümleriyle 30 makineyi test ettim.}

OS X, OpenSSL'nin etkilenen sürümleriyle birlikte gönderilmese openssl versionde, bazı üçüncü taraf paketlerinin bir parçası olarak kurulabilecek bir durumda olması hala şiddetle tavsiye edilmektedir .

Örneğin, bilgisayarım OpenSSL 1.0.1f 6 Jan 2014MacPorts aracılığıyla kurduğum bir şeye bağımlılık olarak dahil edildiğini bildirdi . sudo port upgrade outdatedElbette, bunu çözdü.