Чому Apple використовує старішу версію OpenSSL?

Завдяки новітньому оновлення OS X ( 10.10.5 ), Apple представляє OpenSSL 0.9.8 . Я переглянув офіційну сторінку OpenSSL , і там я міг отримати версію 1.0.2 .

Моє запитання: Чому Apple використовує старішу версію OpenSSL? Це через застарілі функції у Версії 1.0 чи в чому причина?

Джерело: Сторінки безпеки Apple

yosemite security openssl

— Бастіан Грубер
джерело

Чому Apple використовує вразливу версію OpenSSL?

Це не так.

Якщо ви натиснете на посилання, яке ви опублікували у своєму запитанні, ви побачите, що це оновлення виправляє ряд вразливостей, які однаково існують у OpenSSL 0.9.8, 1.0.0, 1.0.1 та 1.0.2.

Отже, іншими словами, версія, яку ви пізніше пропонуєте як альтернативу, 1.0.2, була так само вразлива, як і 0.9.8, і обидві були виправлені одночасно.

Завдяки новітньому оновлення OS X ( 10.10.5 ), Apple представляє OpenSSL 0.9.8 . Я переглянув офіційну сторінку OpenSSL , і там я міг отримати версію 1.0.2 .

Apple оновлює OpenSSL до 0.9.8zg, що всього за 2 місяці, і лише на 4 тижні старше 1.0.2d.

Моє запитання: Чому Apple використовує старішу версію OpenSSL? Це через застарілі функції у Версії 1.0 чи в чому причина?

Це те, що вам доведеться запитати у Apple. Я найкраще здогадуюсь, що 0.9.8 - це версія, з якою вони проводили тестування на сумісність, і для оновлення до нової версії знадобиться абсолютно новий раунд тестування для компонента, який все одно застарів. Оскільки це застаріле, нове програмне забезпечення (яке, можливо, покладається на новіші функції) не повинно його використовувати, а старе програмне забезпечення, яке все ще використовує його, не використовує нові функції (бо їх не було) і навіть може бути зламане оновленням, так навіщо турбуватися?

Поки спільнота OpenSSL досі підтримує гілку 0,9,8, Apple навіть не повинна виконувати роботу з підтримкою патчів.

Зауважте, що це нічого незвичайного. Apple поставляла стару версію Ruby дуже довго, і вони, як правило, не оновлюються під час циклу релізів, лише між випусками. Дистрибутиви Linux, а також BSD та інші дистрибутиви Unix зазвичай не оновлюють версії під час випуску, вони застосовують лише виправлення та виправлення безпеки. Debian, зокрема, навіть не виправляє всіх помилок, лише вразливості безпеки та помилки, які можуть призвести до втрати даних користувачів - будь-яка зміна, навіть помилка - це потенційна несумісність та потенціал для нових помилок; відомі помилки кращі за невідомі!

— Йорг W Міттаг
джерело

Якщо ви знаєте це фактично, скажіть так і скажіть нам, як ви знаєте. Інакше все, що ти робиш - це здогади.

— Стів Чемберс

Сам ОП пов'язував документ, в якому чітко сказано, що в цьому оновлення було виправлено ряд вразливих версій (усі останні відомі в OpenSSL). Дозвольте перефразувати свою відповідь.

— Йорг W Міттаг

Молодці - дякую за розрізання чисел та пояснення, що кілька гілок переміщуються вперед і виправляють. +1 дійсно

— bmike

Зауважте, що згідно з їхньою стратегією випуску , філія OpenSSL 0.9.8 буде підтримуватися до кінця 2015 року разом із гілкою 1.0.0. 0.9.8 був "Основним випуском" за їхньою старою схемою версій, і він підтримується з 2005 року, остання незначна редакція - "zg", 33-й випуск цього відділення, згідно з цим журналом .

— IMSoP

Офіційно застаріло OpenSSL. Існує (за те, що мало часу Apple дозволяє рухатись вперед), щоб не порушувати програмне забезпечення, яке не переходить на альтернативу Apple або не вбудовує SSL всередину програми.

Дивіться посилання Apple Developer для оголошення про депресацію: (інші посилання - це легше читання / синтез причин того , що робити до чого )

— bmike
джерело