En yeni OS X Güncellemesi ile ( 10.10.5 ), Apple tanıtıyor OpenSSL 0.9.8 . Taradım Resmi OpenSSL sayfası , ve orada Sürüm 1.0.2'yi alabilirim .
Sorum şu: Apple neden daha eski bir OpenSSL Sürümü kullanıyor? Sürüm 1.0'daki kullanımdan kaldırılmış işlevler nedeniyle mi yoksa arkasındaki neden nedir?
Kaynak: Apple Security sayfaları
Yanıtlar:
Apple neden savunmasız bir OpenSSL sürümü kullanıyor?
Değil.
Sorunuzda yayınladığınız bağlantıya tıklarsanız, bu güncellemenin OpenSSL 0.9.8, 1.0.0, 1.0.1 ve 1.0.2'de aynı olan bir dizi güvenlik açığı olduğunu göreceksiniz.
Yani, başka bir deyişle, daha sonra bir alternatif olarak önerdiğiniz sürüm 1.0.2, 0.9.8 kadar savunmasızdı ve ikisi de aynı anda düzeltildi.
En yeni OS X Güncellemesi ile ( 10.10.5 ), Apple tanıtıyor OpenSSL 0.9.8 . Taradım Resmi OpenSSL sayfası , ve orada Sürüm 1.0.2'yi alabilirim .
Apple, OpenSSL'yi sadece 2 aylık ve 1.0.2d'den yalnızca 4 hafta eski olan 0.9.8zg'ye yükseltiyor.
Sorum şu: Apple neden daha eski bir OpenSSL Sürümü kullanıyor? Sürüm 1.0'daki kullanımdan kaldırılmış işlevler nedeniyle mi yoksa arkasındaki neden nedir?
Bu Apple'a sorman gereken bir şey. En iyi tahminim, 0.9.8'in uyumluluk testlerini yaptıkları sürüm olduğudur ve daha yeni bir sürüme yükseltmek, yine de kullanımdan kaldırılmış bir bileşen için tamamen yeni bir test gerektirecektir. Kullanımdan kaldırıldığı için yeni bir yazılım (muhtemelen daha yeni özelliklere bağlı olacaktır) zaten kullanmamalı, yine de kullanan eski yazılım yeni özellikleri kullanmıyor (çünkü mevcut değiller) ve hatta bozulabilirler bir güncelleme ile, neden rahatsız ediyorsun?
OpenSSL topluluğu hala 0.9.8 şubesini koruduğu sürece, Apple'ın destekleme yamaları yapması bile gerekmez.
Bunun olağandışı bir şey olmadığını unutmayın. Apple, Ruby'nin eski bir sürümünü çok uzun bir süre boyunca gönderdi ve genellikle sürümler arasında, yalnızca sürümler arasında güncelleme yapmıyorlar. Linux dağıtımları ve BSD'ler ve diğer Unix dağıtımları da genellikle sürüm sırasında sürümleri güncellemez, yalnızca hata düzeltmeleri ve güvenlik düzeltmeleri uygular. Özellikle Debian, genel olarak tüm hataları, hatta yalnızca kullanıcı verilerinin kaybedilmesine neden olabilecek güvenlik açıklarını ve hatalarını bile çözmez - herhangi bir değişiklik, bir hata bile potansiyel bir uyumsuzluk ve yeni bir hata potansiyelidir; bilinen böcekler bilinmeyenlerden daha iyidir!
OpenSSL resmi olarak kullanımdan kaldırılmıştır. Uygulamanın içinde Apple'ın alternatifine veya paket SSL'sine geçiş yapmayan yazılımı kırmamak için (Apple'ın ileriye ne kadar az zaman harcadığı) var.
İtiraz duyuru duyurusu için Apple Developer bağlantısına bakınız: niye ya gelince ne )