Versi OS X apa yang menjadi default dengan versi OpenSSL yang terpengaruh ?
Semua lalu lintas Internet saat ini tersumbat dengan informasi umum yang sama sehubungan dengan bug Heartbleed, tanpa memperhatikan Macintosh di lingkungan. Saya mencari informasi tentang klien Mac OS X serta server Mac OS X. Saat ini tidak praktis bagi saya untuk memeriksa semua Mac di lingkungan untuk versi spesifik OpenSSL mereka , tetapi saya sudah memiliki informasi versi Mac OS X untuk mesin yang terpengaruh.
Jawaban:
Tidak ada versi OS X yang terpengaruh (iOS juga tidak terpengaruh). Hanya menginstal aplikasi atau modifikasi pihak ketiga akan menghasilkan program Mac atau OS X yang memiliki kerentanan / bug dalam OpenSSL versi 1.0.x
Apple menghentikan OpenSSL pada OS X pada Desember 2012 jika tidak lebih awal. Tidak ada versi OpenSSL yang rentan terhadap CVE-2014-0160 (alias Bug Heartbleed )
Apple menyediakan beberapa antarmuka aplikasi alternatif yang menyediakan pengembang SSL ke Mac dan mengatakan ini tentang OpenSSL:
Khususnya, versi terbaru OpenSSL yang dikirimkan oleh Apple adalah OpenSSL 0.9.8y 5 Feb 2013 yang tampaknya tidak memiliki bug dari versi OpenSSL yang lebih baru yang diporting ke kode untuk versi perpustakaan Apple.
PDF dokumentasi ini memiliki beberapa saran tertulis yang jelas untuk pengembang dan beberapa bagian yang bermanfaat bagi para profesional atau pengguna yang memikirkan keamanan juga.
Mempertimbangkan hal ini, satu-satunya masalah yang tersisa adalah perangkat lunak tambahan yang dibangun terhadap OpenSSL, misalnya beberapa di Homebrew (
brew update
diikuti olehbrew upgrade
) atau MacPorts (port self update
diikuti olehport upgrade openssl
) untuk memperbarui ke versi 1.x openSSL yang ditambal.Selain itu, Anda dapat menggunakan mdfind / mdls untuk memeriksa file bernama openssl jika Anda memiliki aplikasi lain yang menggabungkan pustaka yang direkomendasikan Apple daripada tergantung pada versi "aman" yang Apple masih kirim dengan OS X.
sumber
port selfupdate
diikuti olehport upgrade openssl
akan membuat Anda versi 1.0.1g diperbaiki.Saya telah menjalankan
openssl version
di setiap Mac saya bisa mendapatkan 1 dan semuanya menunjukkan:... termasuk versi terbaru saat ini: OS X 10.9.2.
Oleh karena itu saya dapat menyimpulkan bahwa tidak ada versi OS X yang dipengaruhi oleh Heartbleed.
1 dan juga yang saya tidak bisa dan baru saja SSH - masih diuji, mesin produksi penting! Secara keseluruhan saya menguji sekitar 30 mesin dengan berbagai versi OS X.
sumber
Sementara OS X tidak disertakan dengan rilis OpenSSL yang terpengaruh, itu masih sangat dianjurkan untuk melakukan
openssl version
seandainya seseorang telah diinstal sebagai bagian dari beberapa paket pihak ketiga.Misalnya, komputer saya melaporkan
OpenSSL 1.0.1f 6 Jan 2014
karena telah dimasukkan sebagai ketergantungan untuk sesuatu yang telah saya instal melalui MacPorts.sudo port upgrade outdated
memecahkan ini, tentu saja.sumber
OpenSSL 1.0.1g 7 Apr 2014
untuk versi yang aman / ditambal.