Những phiên bản nào của OS X bị ảnh hưởng bởi Heartbleed?

Phiên bản nào của OS X trở thành mặc định với các phiên bản OpenSSL bị ảnh hưởng ?

Tất cả lưu lượng truy cập Internet ngay bây giờ bị tắc với cùng một thông tin chung liên quan đến lỗi Heartbleed, mà không có bất kỳ sự chú ý nào đối với Macintosh trong môi trường. Tôi đang tìm kiếm thông tin về máy khách Mac OS X cũng như máy chủ Mac OS X. Ngay bây giờ tôi không thể kiểm tra tất cả các máy Mac trong môi trường để biết phiên bản OpenSSL cụ thể của chúng , nhưng tôi đã có thông tin phiên bản Mac OS X cho các máy bị ảnh hưởng.

Không có phiên bản OS X nào bị ảnh hưởng (iOS cũng không bị ảnh hưởng). Chỉ cài đặt ứng dụng hoặc sửa đổi của bên thứ ba sẽ dẫn đến chương trình Mac hoặc OS X có lỗ hổng / lỗi đó trong OpenSSL phiên bản 1.0.x

Apple đã từ chối OpenSSL trên OS X vào tháng 12 năm 2012 nếu không sớm hơn. Không có phiên bản OpenSSL nào dễ bị tổn thương với CVE-2014-0160 (hay còn gọi là lỗi Heartbleed )

Apple cung cấp một số giao diện ứng dụng thay thế cung cấp SSL cho các nhà phát triển Mac và có điều này để nói về OpenSSL:

OpenSSL không cung cấp API ổn định từ phiên bản này sang phiên bản khác. Vì lý do này, mặc dù OS X cung cấp các thư viện OpenSSL, các thư viện OpenSSL trong OS X không được dùng nữa và OpenSSL chưa bao giờ được cung cấp như một phần của iOS. Việc sử dụng các thư viện OpenSSL của OS X bởi các ứng dụng không được khuyến khích.

Cụ thể, phiên bản OpenSSL mới nhất do Apple cung cấp là OpenSSL 0.9.8y ngày 5 tháng 2 năm 2013 dường như không có lỗi từ các phiên bản mới hơn của OpenSSL được chuyển sang mã cho phiên bản thư viện của Apple.

Bản PDF của tài liệu này có một số lời khuyên rõ ràng bằng văn bản cho các nhà phát triển và một số phần hữu ích cho các chuyên gia hoặc người dùng có đầu óc bảo mật.

• OpenSSL dành cho nhà phát triển Mac và phiên bản PDF của Hướng dẫn dịch vụ mã hóa của Apple

Xem xét vấn đề này, vấn đề duy nhất còn lại sẽ là phần mềm bổ sung được xây dựng dựa trên OpenSSL, ví dụ như một số trong Homebrew ( brew updatetiếp theo brew upgrade) hoặc MacPorts ( port self updatetiếp theo port upgrade openssl) để cập nhật lên phiên bản openSSL 1.x đã vá.

Ngoài ra, bạn có thể sử dụng mdfind / mdls để kiểm tra các tệp có tên openssl trong trường hợp bạn có các ứng dụng khác đi kèm thư viện như Apple khuyến nghị thay vì phụ thuộc vào phiên bản "an toàn" mà Apple vẫn cung cấp với OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Tôi đã chạy openssl versiontrên mọi máy Mac mà tôi có thể chạm tay vào ¹ và tất cả chúng đều hiển thị:

OpenSSL 0.9.8y 5 Feb 2013

Bao gồm cả phiên bản mới nhất hiện tại: OS X 10.9.2.

Do đó tôi có thể kết luận rằng không có phiên bản OS X nào bị ảnh hưởng bởi Heartbleed.

^{1 và cũng là những cái tôi không thể và chỉ có SSH - mặc dù vẫn được thử nghiệm, máy sản xuất rất quan trọng! Tổng cộng tôi đã thử nghiệm khoảng 30 máy với các phiên bản OS X khác nhau.}

Mặc dù OS X không phát hành với các bản phát hành OpenSSL bị ảnh hưởng, nhưng nó vẫn được khuyến khích thực hiện openssl versiontrong trường hợp một bản có thể đã được cài đặt như một phần của gói bên thứ ba.

Ví dụ, máy tính của tôi đã báo cáo OpenSSL 1.0.1f 6 Jan 2014vì nó đã được đưa vào như một phần phụ thuộc cho thứ tôi đã cài đặt thông qua MacPorts. sudo port upgrade outdatedgiải quyết điều này, tất nhiên.