Które wersje OS X są domyślnie dostarczane z wersjami OpenSSL, której dotyczy problem ?
Cały ruch internetowy jest teraz zatkany tymi samymi ogólnymi informacjami na temat błędu Heartbleed, bez zwracania uwagi na środowisko Macintosh. Szukam informacji o kliencie Mac OS X, a także serwerze Mac OS X. Obecnie sprawdzanie wszystkich komputerów Mac w środowisku pod kątem konkretnej wersji OpenSSL jest dla mnie niepraktyczne , ale mam już informacje o wersji Mac OS X dla komputerów, których dotyczy problem.
Odpowiedzi:
Nie dotyczy to żadnej wersji systemu OS X (ani iOS). Tylko zainstalowanie aplikacji lub modyfikacji innej firmy spowodowałoby usterkę / błąd w systemie Mac lub OS X w OpenSSL w wersji 1.0.x
Firma Apple wycofała OpenSSL w systemie OS X w grudniu 2012 r., Jeśli nie wcześniej. Brak wersji OpenSSL, która byłaby podatna na CVE-2014-0160 (znany również jako Heartbleed Bug )
Apple udostępnia kilka alternatywnych interfejsów aplikacji, które zapewniają SSL programistom komputerów Mac i ma to do powiedzenia na temat OpenSSL:
W szczególności najnowsza wersja OpenSSL dostarczana przez Apple to OpenSSL 0.9.8y 5 lutego 2013, która nie wydaje się zawierać błędu z nowszych wersji OpenSSL z powrotem przeniesionego do kodu dla biblioteki Apple'a.
Plik PDF tej dokumentacji zawiera jasno napisane porady dla programistów oraz niektóre sekcje przydatne dla profesjonalistów lub użytkowników dbających o bezpieczeństwo.
Biorąc to pod uwagę, jedynym pozostałym problemem byłoby dodatkowe oprogramowanie, które zostało zbudowane przeciwko OpenSSL, np. Kilka w Homebrew (
brew update
następniebrew upgrade
) lub MacPorts (port self update
następnieport upgrade openssl
) w celu aktualizacji do łatanej wersji 1.SS openSSL.Możesz także użyć mdfind / mdls do sprawdzenia plików o nazwie openssl w przypadku, gdy masz inne aplikacje, które pakują tę bibliotekę zgodnie z zaleceniami Apple, zamiast polegać na „bezpiecznej” wersji, którą Apple nadal dostarcza z OS X.
źródło
port selfupdate
a następnieport upgrade openssl
otrzyma stałą wersję 1.0.1g.Uruchomiłem
openssl version
na każdym komputerze Mac, w którym mogłem dostać 1, a wszystkie pokazują:… W tym aktualna najnowsza wersja: OS X 10.9.2.
Dlatego mogę stwierdzić, że Heartbleed nie wpływa na żadną wersję OS X.
1, a także te, których nie mogłem i właśnie miałem SSH - mimo to wciąż testowane, maszyny produkcyjne są ważne! W sumie przetestowałem około 30 maszyn z różnymi wersjami OS X.
źródło
Chociaż system OS X nie jest dostarczany z wydanymi przez OpenSSL wersjami, których dotyczy problem, nadal zaleca się zrobienie tego
openssl version
w przypadku, gdyby ktoś mógł zostać zainstalowany jako część pakietu innej firmy.Na przykład mój komputer zgłosił się,
OpenSSL 1.0.1f 6 Jan 2014
ponieważ został uwzględniony jako zależność od czegoś, co zainstalowałem za pośrednictwem MacPorts.sudo port upgrade outdated
oczywiście to rozwiązało.źródło
OpenSSL 1.0.1g 7 Apr 2014
wersję 1.x, najlepiej zobaczysz wersję bezpieczną / poprawioną.