Apa versi OS X yang dipengaruhi oleh Heartbleed?

Versi OS X apa yang menjadi default dengan versi OpenSSL yang terpengaruh ?

Semua lalu lintas Internet saat ini tersumbat dengan informasi umum yang sama sehubungan dengan bug Heartbleed, tanpa memperhatikan Macintosh di lingkungan. Saya mencari informasi tentang klien Mac OS X serta server Mac OS X. Saat ini tidak praktis bagi saya untuk memeriksa semua Mac di lingkungan untuk versi spesifik OpenSSL mereka , tetapi saya sudah memiliki informasi versi Mac OS X untuk mesin yang terpengaruh.

Tidak ada versi OS X yang terpengaruh (iOS juga tidak terpengaruh). Hanya menginstal aplikasi atau modifikasi pihak ketiga akan menghasilkan program Mac atau OS X yang memiliki kerentanan / bug dalam OpenSSL versi 1.0.x

Apple menghentikan OpenSSL pada OS X pada Desember 2012 jika tidak lebih awal. Tidak ada versi OpenSSL yang rentan terhadap CVE-2014-0160 (alias Bug Heartbleed )

Apple menyediakan beberapa antarmuka aplikasi alternatif yang menyediakan pengembang SSL ke Mac dan mengatakan ini tentang OpenSSL:

OpenSSL tidak menyediakan API yang stabil dari versi ke versi. Untuk alasan ini, meskipun OS X menyediakan pustaka OpenSSL, pustaka OpenSSL di OS X sudah usang, dan OpenSSL tidak pernah disediakan sebagai bagian dari iOS. Penggunaan pustaka OS X OpenSSL oleh aplikasi sangat tidak disarankan.

Khususnya, versi terbaru OpenSSL yang dikirimkan oleh Apple adalah OpenSSL 0.9.8y 5 Feb 2013 yang tampaknya tidak memiliki bug dari versi OpenSSL yang lebih baru yang diporting ke kode untuk versi perpustakaan Apple.

PDF dokumentasi ini memiliki beberapa saran tertulis yang jelas untuk pengembang dan beberapa bagian yang bermanfaat bagi para profesional atau pengguna yang memikirkan keamanan juga.

• OpenSSL untuk Pengembang Mac dan versi PDF dari Panduan Layanan Kriptografis Apple

Mempertimbangkan hal ini, satu-satunya masalah yang tersisa adalah perangkat lunak tambahan yang dibangun terhadap OpenSSL, misalnya beberapa di Homebrew ( brew updatediikuti oleh brew upgrade) atau MacPorts ( port self updatediikuti oleh port upgrade openssl) untuk memperbarui ke versi 1.x openSSL yang ditambal.

Selain itu, Anda dapat menggunakan mdfind / mdls untuk memeriksa file bernama openssl jika Anda memiliki aplikasi lain yang menggabungkan pustaka yang direkomendasikan Apple daripada tergantung pada versi "aman" yang Apple masih kirim dengan OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Saya telah menjalankan openssl versiondi setiap Mac saya bisa mendapatkan ¹ dan semuanya menunjukkan:

OpenSSL 0.9.8y 5 Feb 2013

... termasuk versi terbaru saat ini: OS X 10.9.2.

Oleh karena itu saya dapat menyimpulkan bahwa tidak ada versi OS X yang dipengaruhi oleh Heartbleed.

^{1 dan juga yang saya tidak bisa dan baru saja SSH - masih diuji, mesin produksi penting! Secara keseluruhan saya menguji sekitar 30 mesin dengan berbagai versi OS X.}

Sementara OS X tidak disertakan dengan rilis OpenSSL yang terpengaruh, itu masih sangat dianjurkan untuk melakukan openssl versionseandainya seseorang telah diinstal sebagai bagian dari beberapa paket pihak ketiga.

Misalnya, komputer saya melaporkan OpenSSL 1.0.1f 6 Jan 2014karena telah dimasukkan sebagai ketergantungan untuk sesuatu yang telah saya instal melalui MacPorts. sudo port upgrade outdatedmemecahkan ini, tentu saja.