Apa versi OS X yang dipengaruhi oleh Heartbleed?

55

Versi OS X apa yang menjadi default dengan versi OpenSSL yang terpengaruh ?

Semua lalu lintas Internet saat ini tersumbat dengan informasi umum yang sama sehubungan dengan bug Heartbleed, tanpa memperhatikan Macintosh di lingkungan. Saya mencari informasi tentang klien Mac OS X serta server Mac OS X. Saat ini tidak praktis bagi saya untuk memeriksa semua Mac di lingkungan untuk versi spesifik OpenSSL mereka , tetapi saya sudah memiliki informasi versi Mac OS X untuk mesin yang terpengaruh.

MDMoore313
sumber
Ini lebih merupakan masalah bagi server web daripada klien yang digunakan untuk menghubungkan mereka. Informasi Anda dapat dikompromikan bahkan jika mesin Anda tidak memiliki versi OpenSSL Heartbleed.
Ɱark Ƭ
1
@Ark benar, tetapi apa yang terjadi ketika seseorang ingin menjalankan aplikasi yang mengubah mesin mereka menjadi server web, dan menggunakan versi bawaan dari OpenSSL? Aplikasi Mac mungkin tidak begitu banyak, tapi itu sebabnya saya bertanya tentang server OS X juga. Ponsel cenderung lebih terpengaruh meskipun banyak aplikasi seluler mencoba menerapkan fungsi itu.
MDMoore313
Namun, seluruh pertanyaan sebagian besar melewatkan titik bahwa itu bukan mesin klien yang dalam bahaya, tetapi server. Jika Anda mengakses server yang telah disusupi, maka tidak masalah apakah Anda menjalankan MacOS X atau Windows 95, Anda mengakses server yang mungkin membocorkan informasi apa pun yang dimiliki server tentang Anda. Ini hanya menarik jika Anda menggunakan Mac Anda sendiri sebagai server.
gnasher729
2
Tidak benar. Eksploitasi dapat digunakan oleh server jahat terhadap klien yang menggunakan OpenSSL untuk membuat koneksi.
Michael Hampton
3
@ gnasher729 Tidak ada alasan Anda tidak dapat mengajukan pertanyaan berbeda tentang titik yang Anda rasa tidak ada. T&J ini sempit dan berfokus pada versi OS X apa yang mungkin memiliki konten memori yang terpapar ke jaringan oleh bug pemrograman. Ini tidak dimaksudkan untuk menjadi penilaian risiko umum untuk setiap pengguna Mac atau bahkan tentang gambaran yang lebih besar.
bmike

Jawaban:

63

Tidak ada versi OS X yang terpengaruh (iOS juga tidak terpengaruh). Hanya menginstal aplikasi atau modifikasi pihak ketiga akan menghasilkan program Mac atau OS X yang memiliki kerentanan / bug dalam OpenSSL versi 1.0.x


Apple menghentikan OpenSSL pada OS X pada Desember 2012 jika tidak lebih awal. Tidak ada versi OpenSSL yang rentan terhadap CVE-2014-0160 (alias Bug Heartbleed )

Apple menyediakan beberapa antarmuka aplikasi alternatif yang menyediakan pengembang SSL ke Mac dan mengatakan ini tentang OpenSSL:

OpenSSL tidak menyediakan API yang stabil dari versi ke versi. Untuk alasan ini, meskipun OS X menyediakan pustaka OpenSSL, pustaka OpenSSL di OS X sudah usang, dan OpenSSL tidak pernah disediakan sebagai bagian dari iOS. Penggunaan pustaka OS X OpenSSL oleh aplikasi sangat tidak disarankan.

Khususnya, versi terbaru OpenSSL yang dikirimkan oleh Apple adalah OpenSSL 0.9.8y 5 Feb 2013 yang tampaknya tidak memiliki bug dari versi OpenSSL yang lebih baru yang diporting ke kode untuk versi perpustakaan Apple.

PDF dokumentasi ini memiliki beberapa saran tertulis yang jelas untuk pengembang dan beberapa bagian yang bermanfaat bagi para profesional atau pengguna yang memikirkan keamanan juga.

Mempertimbangkan hal ini, satu-satunya masalah yang tersisa adalah perangkat lunak tambahan yang dibangun terhadap OpenSSL, misalnya beberapa di Homebrew ( brew updatediikuti oleh brew upgrade) atau MacPorts ( port self updatediikuti oleh port upgrade openssl) untuk memperbarui ke versi 1.x openSSL yang ditambal.

Selain itu, Anda dapat menggunakan mdfind / mdls untuk memeriksa file bernama openssl jika Anda memiliki aplikasi lain yang menggabungkan pustaka yang direkomendasikan Apple daripada tergantung pada versi "aman" yang Apple masih kirim dengan OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
sumber
8
Bagi mereka yang menggunakan MacPorts, mereka telah merilis OpenSSL yang diperbarui juga. Menjalankan port selfupdatediikuti oleh port upgrade opensslakan membuat Anda versi 1.0.1g diperbaiki.
coredumperror
1
@CoreDumpError Terima kasih untuk itu - saya telah menyematkan perintah Anda di jawaban sehingga orang melihatnya dengan jelas tepat di sebelah "resep" homebrew.
bmike
Perlu juga dicatat bahwa perangkat lunak klien Apple menggunakan Transportasi Aman, kode Apple sendiri, bukan OpenSSL; hal yang sama berlaku untuk semua perangkat lunak yang menggunakan Cocoa atau Core Foundation APIs untuk berkomunikasi melalui 'Net.
alastair
Keingintahuan: apakah Anda tahu mengapa Apple berhenti menggunakan OpenSSL?
Roberto
FWIW - bug yang tidak terkait ditemukan dalam kode SSL Apple kurang dari 2 bulan yang lalu: nakedsecurity.sophos.com/2014/02/24/…
Elliot
16

Saya telah menjalankan openssl versiondi setiap Mac saya bisa mendapatkan 1 dan semuanya menunjukkan:

OpenSSL 0.9.8y 5 Feb 2013

... termasuk versi terbaru saat ini: OS X 10.9.2.

Oleh karena itu saya dapat menyimpulkan bahwa tidak ada versi OS X yang dipengaruhi oleh Heartbleed.

1 dan juga yang saya tidak bisa dan baru saja SSH - masih diuji, mesin produksi penting! Secara keseluruhan saya menguji sekitar 30 mesin dengan berbagai versi OS X.

GRG
sumber
> Pemeriksaan batas yang hilang dalam penanganan ekstensi detak jantung TLS dapat digunakan untuk mengungkapkan hingga 64k memori ke klien atau server yang terhubung. > ** Hanya rilis OpenSSL versi 1.0.1 dan 1.0.2-beta yang terpengaruh termasuk 1.0.1f dan 1.0.2-beta1. ** via openssl.org , (penekanan ditambahkan). Jadi seperti yang dikatakan grgarside ...
dwightk
@dwightk Pertanyaannya adalah tentang versi OS X mana yang memiliki salah satu versi OpenSSL yang terpengaruh. Versi OpenSSL yang digunakan sudah dikenal luas, terima kasih.
MDMoore313
10

Sementara OS X tidak disertakan dengan rilis OpenSSL yang terpengaruh, itu masih sangat dianjurkan untuk melakukan openssl versionseandainya seseorang telah diinstal sebagai bagian dari beberapa paket pihak ketiga.

Misalnya, komputer saya melaporkan OpenSSL 1.0.1f 6 Jan 2014karena telah dimasukkan sebagai ketergantungan untuk sesuatu yang telah saya instal melalui MacPorts. sudo port upgrade outdatedmemecahkan ini, tentu saja.

Daniel Perván
sumber
3
OS X itu (bukan OSX).
Peter Mortensen
@Peter Mortensen: Tetap :)
Daniel Perván
Dan, jika Anda memiliki 1.x, maka idealnya Anda akan melihat OpenSSL 1.0.1g 7 Apr 2014untuk versi yang aman / ditambal.
drfrogsplat