На які версії OS X впливає Heartbleed?

Які версії OS X стають за замовчуванням щодо постраждалих версій OpenSSL ?

Весь інтернет-трафік зараз забитий однаковою загальною інформацією щодо помилки Heartbleed, без уваги Macintosh у середовищі. Я шукаю інформацію про клієнт Mac OS X, а також про сервер Mac OS X. Зараз для мене недоцільно перевіряти всі Macs у оточенні на предмет їх конкретної версії OpenSSL , але у мене вже є інформація про версію Mac OS X для постраждалих машин.

Жодна версія ОС X не зачіпає (як і iOS). Лише встановлення стороннього додатка чи модифікації призведе до того, що програма Mac або OS X матиме цю вразливість / помилку у OpenSSL версії 1.0.x

Apple застаріла OpenSSL в ОС X у грудні 2012 року, якщо не раніше. Немає версії OpenSSL, що вразлива для CVE-2014-0160 (він же Heartbleed Bug )

Apple пропонує кілька альтернативних інтерфейсів додатків, які надають SSL розробникам Mac, і це говорить про OpenSSL:

OpenSSL не забезпечує стабільний API від версії до версії. З цієї причини, хоча OS X надає бібліотеки OpenSSL, бібліотеки OpenSSL в OS X застарілі, а OpenSSL ніколи не надається як частина iOS. Використання додатків X X OpenSSL бібліотеками сильно не рекомендується.

Зокрема, остання версія OpenSSL, що постачається компанією Apple, - OpenSSL 0.9.8y 5 лютого 2013 р. , Схоже, помилка з новіших версій OpenSSL назад перенесена до коду для версії бібліотеки Apple.

PDF цієї документації містить кілька чітко написаних порад для розробників та деякі розділи, які корисні і професіоналам, і користувачеві, орієнтованому на безпеку.

• OpenSSL для розробників Mac та PDF-версія посібника з криптографічних служб Apple

Враховуючи це, єдиним залишається проблемою було б додаткове програмне забезпечення, яке було побудоване проти OpenSSL, наприклад, кілька в Homebrew ( brew updateдалі brew upgrade) або MacPorts ( port self updateдалі port upgrade openssl) для оновлення до виправленої 1.x версії openSSL.

Крім того, ви можете використовувати mdfind / mdls для перевірки файлів з назвою openssl, якщо у вас є інші додатки, які поєднують цю бібліотеку, як рекомендує Apple, а не залежно від "безпечної" версії Apple все ще постачається з ОС X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Я працював openssl versionна кожному Mac, я міг отримати свої руки на ^1, і всі вони показують:

OpenSSL 0.9.8y 5 Feb 2013

… Включаючи останню останню версію: OS X 10.9.2.

Тому я можу зробити висновок, що Heartbleed не впливає на будь-яку версію OS X.

^{1, а також ті, які я не міг і просто мав SSH - все-таки перевірені, виробничі машини важливі! Всього я протестував близько 30 машин з різними версіями OS X.}

Хоча OS X не постачається із зачепленими випусками OpenSSL, все-таки настійно рекомендується зробити openssl versionвипадок, якщо він, можливо, був встановлений як частина якогось третього пакету.

Наприклад, мій комп'ютер повідомив, OpenSSL 1.0.1f 6 Jan 2014що він був включений як залежність від чогось, що я встановив через MacPorts. sudo port upgrade outdatedце, звичайно, вирішило.