Mengapa Apple menggunakan versi OpenSSL yang lebih lama?

16

Dengan Pembaruan OS X terbaru ( 10.10.5 ), Apple memperkenalkan OpenSSL 0.9.8 . Saya melihat-lihat halaman OpenSSL resmi , dan di sana saya bisa mendapatkan Versi 1.0.2 .

Pertanyaan saya adalah: Mengapa Apple menggunakan Versi OpenSSL yang lebih lama? Apakah karena fungsi yang sudah tidak digunakan lagi di Versi 1.0 atau apa alasannya?

Sumber: halaman Apple Security

yosemite security openssl Bastian Gruber
sumber

Jawaban:

20

Mengapa Apple menggunakan versi OpenSSL yang rentan?

Bukan itu.

Jika Anda mengklik tautan yang Anda posting dalam pertanyaan Anda, Anda akan melihat bahwa pembaruan ini menambal sejumlah kerentanan yang ada secara identik di OpenSSL 0.9.8, 1.0.0, 1.0.1, dan 1.0.2.

Jadi, dengan kata lain, versi yang nantinya Anda sarankan sebagai alternatif, 1.0.2, sama rentannya dengan 0.9.8, dan keduanya diperbaiki pada saat yang sama.

Dengan Pembaruan OS X terbaru ( 10.10.5 ), Apple memperkenalkan OpenSSL 0.9.8 . Saya melihat-lihat halaman OpenSSL resmi , dan di sana saya bisa mendapatkan Versi 1.0.2 .

Apple memperbarui OpenSSL ke 0.9.8zg, yang baru berusia 2 bulan, dan hanya 4 minggu lebih tua dari 1.0.2d.

Pertanyaan saya adalah: Mengapa Apple menggunakan Versi OpenSSL yang lebih lama? Apakah karena fungsi yang sudah tidak digunakan lagi di Versi 1.0 atau apa alasannya?

Itu adalah sesuatu yang harus Anda tanyakan kepada Apple. Dugaan terbaik saya adalah 0.9.8 adalah versi yang mereka lakukan pengujian kompatibilitasnya, dan peningkatan ke versi yang lebih baru akan memerlukan putaran pengujian yang sama sekali baru untuk komponen yang sudah usang. Karena sudah usang, perangkat lunak yang lebih baru (yang mungkin akan bergantung pada fitur yang lebih baru) toh tidak boleh menggunakannya, dan perangkat lunak yang lebih lama yang masih menggunakannya tidak menggunakan fitur-fitur baru (karena tidak ada) dan bahkan mungkin rusak oleh pembaruan, jadi mengapa repot-repot?

Selama komunitas OpenSSL masih mempertahankan cabang 0.9.8, Apple bahkan tidak perlu melakukan pekerjaan backporting patch.

Perhatikan bahwa ini bukan hal yang aneh. Apple mengirimkan versi lama Ruby untuk waktu yang sangat lama, dan mereka umumnya tidak memperbarui selama siklus rilis, hanya di antara rilis. Distribusi Linux juga BSD dan distribusi Unix lainnya juga biasanya tidak memperbarui versi selama rilis, mereka hanya menerapkan perbaikan bug dan perbaikan keamanan. Debian, khususnya, umumnya bahkan tidak memperbaiki semua bug, hanya kerentanan keamanan dan bug yang dapat mengakibatkan hilangnya data pengguna - perubahan apa pun, bahkan perbaikan bug adalah potensi ketidakcocokan dan potensi bug baru; bug yang dikenal lebih baik daripada bug yang tidak dikenal!

Jörg W Mittag
sumber
3
Jika Anda mengetahui fakta ini, katakan saja dan beri tahu kami bagaimana Anda tahu. Kalau tidak, yang Anda lakukan hanyalah menebak.
Steve Chambers
OP sendiri menautkan ke dokumen yang dengan jelas menyatakan bahwa sejumlah kerentanan (semua yang terbaru yang diketahui dalam OpenSSL) diperbaiki dalam pembaruan itu. Biarkan saya ulangi jawaban saya.
Jörg W Mittag
1
Bagus sekali - terima kasih telah memotong angka-angka dan menjelaskan bahwa banyak cabang sedang dipindahkan dan ditambal. +1 memang
bmike
Perhatikan bahwa sesuai dengan strategi rilis mereka saat ini , cabang OpenSSL 0.9.8 akan didukung hingga akhir 2015, bersama dengan cabang 1.0.0. 0.9.8 adalah "Rilis Besar" di bawah skema versi lama mereka, dan telah dipertahankan sejak 2005, revisi minor terbaru adalah "zg", rilis ke-33 dari cabang itu, menurut blog ini .
IMSoP
17

OpenSSL sudah usang secara resmi. Itu ada (untuk apa waktu Apple memungkinkan untuk maju) untuk tidak merusak perangkat lunak yang tidak bermigrasi ke alternatif Apple atau bundel SSL secara internal dengan aplikasi.

Lihat tautan Pengembang Apple untuk pengumuman penghentian: (tautan lain lebih mudah dibaca / lebih banyak sintesis mengapa tentang apa )

bmike
sumber