Na jakie wersje OS X wpływa Heartbleed?

55

Które wersje OS X są domyślnie dostarczane z wersjami OpenSSL, której dotyczy problem ?

Cały ruch internetowy jest teraz zatkany tymi samymi ogólnymi informacjami na temat błędu Heartbleed, bez zwracania uwagi na środowisko Macintosh. Szukam informacji o kliencie Mac OS X, a także serwerze Mac OS X. Obecnie sprawdzanie wszystkich komputerów Mac w środowisku pod kątem konkretnej wersji OpenSSL jest dla mnie niepraktyczne , ale mam już informacje o wersji Mac OS X dla komputerów, których dotyczy problem.

MDMoore313
źródło
Jest to bardziej problem dla serwerów internetowych niż klientów używanych do łączenia się z nimi. Twoje informacje mogą zostać naruszone, nawet jeśli twój komputer nie ma wersji OpenSSL Heartbleed.
Ɱark Ƭ
1
@Zaznacz prawda, ale co się stanie, gdy ktoś chce uruchomić aplikację, która zamienia komputer w serwer WWW i korzysta z wbudowanej wersji OpenSSL? Aplikacje na komputery Mac może nie tak bardzo, ale dlatego też zapytałem o serwer OS X. Mobilność prawdopodobnie będzie bardziej skuteczna, chociaż wiele aplikacji mobilnych próbuje wdrożyć tę funkcjonalność.
MDMoore313
Jednak całe pytanie w dużej mierze pomija argument, że nie są to komputery klienckie, które są w niebezpieczeństwie, ale serwery. Jeśli uzyskujesz dostęp do serwera, który został przejęty, nie ma znaczenia, czy korzystasz z systemu MacOS X, czy Windows 95, uzyskujesz dostęp do serwera, który może wyciekać z jakichkolwiek informacji o nim. Jest to interesujące tylko wtedy, gdy używasz własnego komputera Mac jako serwera.
gnasher729
2
Nie prawda. Exploit może być wykorzystywany przez złośliwe serwery przeciwko klientom, którzy używają OpenSSL do nawiązania połączenia.
Michael Hampton
3
@ gnasher729 Nie ma powodu, dla którego nie możesz zadać innego pytania na temat brakującego punktu. Niniejsze pytania i odpowiedzi są wąskie i koncentrują się na tym, jakie wersje OS X mogą mieć zawartość pamięci udostępnioną sieci przez błąd programowy. Nie jest to ogólna ocena ryzyka dla dowolnego użytkownika komputera Mac ani nawet większego obrazu.
bmike

Odpowiedzi:

63

Nie dotyczy to żadnej wersji systemu OS X (ani iOS). Tylko zainstalowanie aplikacji lub modyfikacji innej firmy spowodowałoby usterkę / błąd w systemie Mac lub OS X w OpenSSL w wersji 1.0.x


Firma Apple wycofała OpenSSL w systemie OS X w grudniu 2012 r., Jeśli nie wcześniej. Brak wersji OpenSSL, która byłaby podatna na CVE-2014-0160 (znany również jako Heartbleed Bug )

Apple udostępnia kilka alternatywnych interfejsów aplikacji, które zapewniają SSL programistom komputerów Mac i ma to do powiedzenia na temat OpenSSL:

OpenSSL nie zapewnia stabilnego API od wersji do wersji. Z tego powodu, mimo że OS X zapewnia biblioteki OpenSSL, biblioteki OpenSSL w OS X są przestarzałe, a OpenSSL nigdy nie był dostarczany jako część iOS. Korzystanie z bibliotek OpenSSL w OS X przez aplikacje jest zdecydowanie odradzane.

W szczególności najnowsza wersja OpenSSL dostarczana przez Apple to OpenSSL 0.9.8y 5 lutego 2013, która nie wydaje się zawierać błędu z nowszych wersji OpenSSL z powrotem przeniesionego do kodu dla biblioteki Apple'a.

Plik PDF tej dokumentacji zawiera jasno napisane porady dla programistów oraz niektóre sekcje przydatne dla profesjonalistów lub użytkowników dbających o bezpieczeństwo.

Biorąc to pod uwagę, jedynym pozostałym problemem byłoby dodatkowe oprogramowanie, które zostało zbudowane przeciwko OpenSSL, np. Kilka w Homebrew ( brew updatenastępnie brew upgrade) lub MacPorts ( port self updatenastępnie port upgrade openssl) w celu aktualizacji do łatanej wersji 1.SS openSSL.

Możesz także użyć mdfind / mdls do sprawdzenia plików o nazwie openssl w przypadku, gdy masz inne aplikacje, które pakują tę bibliotekę zgodnie z zaleceniami Apple, zamiast polegać na „bezpiecznej” wersji, którą Apple nadal dostarcza z OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
źródło
8
Dla tych, którzy używają MacPorts, wydali również zaktualizowany OpenSSL. Uruchomienie, port selfupdatea następnie port upgrade opensslotrzyma stałą wersję 1.0.1g.
coredumperror
1
@CoreDumpError Dzięki za to - osadziłem twoje polecenia w odpowiedzi, aby ludzie widzieli to wyraźnie obok „przepisu” homebrew.
bmike
Warto również zauważyć, że oprogramowanie klienckie Apple używa Bezpiecznego transportu, własnego kodu Apple, a nie OpenSSL; to samo dotyczy dowolnego oprogramowania korzystającego z interfejsów API Cocoa lub Core Foundation do komunikacji w sieci.
alastair
Ciekawość: czy wiesz, dlaczego Apple przestało używać OpenSSL?
Roberto
FWIW - niecały błąd został znaleziony w kodzie SSL Apple mniej niż 2 miesiące temu: nakedsecurity.sophos.com/2014/02/24/…
Elliot
16

Uruchomiłem openssl versionna każdym komputerze Mac, w którym mogłem dostać 1, a wszystkie pokazują:

OpenSSL 0.9.8y 5 Feb 2013

… W tym aktualna najnowsza wersja: OS X 10.9.2.

Dlatego mogę stwierdzić, że Heartbleed nie wpływa na żadną wersję OS X.

1, a także te, których nie mogłem i właśnie miałem SSH - mimo to wciąż testowane, maszyny produkcyjne są ważne! W sumie przetestowałem około 30 maszyn z różnymi wersjami OS X.

grg
źródło
> Kontrola brakujących granic w obsłudze rozszerzenia pulsu TLS może być wykorzystana do ujawnienia do 64k pamięci podłączonemu klientowi lub serwerowi. > ** Dotyczy to tylko wersji OpenSSL 1.0.1 i 1.0.2-beta, w tym 1.0.1f i ​​1.0.2-beta1. ** za pośrednictwem openssl.org ( wyróżnienie dodane). Tak jak powiedział grgarside ...
dwightk
@dwightk Pytanie dotyczyło tego, które wersje OS X mają jedną ze zmodyfikowanych wersji OpenSSL. Wersje OpenSSL, które zostały wprowadzone, są dobrze znane, jednak dzięki.
MDMoore313
10

Chociaż system OS X nie jest dostarczany z wydanymi przez OpenSSL wersjami, których dotyczy problem, nadal zaleca się zrobienie tego openssl versionw przypadku, gdyby ktoś mógł zostać zainstalowany jako część pakietu innej firmy.

Na przykład mój komputer zgłosił się, OpenSSL 1.0.1f 6 Jan 2014ponieważ został uwzględniony jako zależność od czegoś, co zainstalowałem za pośrednictwem MacPorts. sudo port upgrade outdatedoczywiście to rozwiązało.

Daniel Perván
źródło
3
OS X to (nie OSX).
Peter Mortensen,
@Peter Mortensen: Naprawiono :)
Daniel Perván
A jeśli masz OpenSSL 1.0.1g 7 Apr 2014wersję 1.x, najlepiej zobaczysz wersję bezpieczną / poprawioną.
drfrogsplat