На какие версии OS X влияет Heartbleed?

Какие версии OS X поставляются по умолчанию с уязвимыми версиями OpenSSL ?

Весь интернет-трафик сейчас забит той же общей информацией об ошибке Heartbleed, без какого-либо внимания к Macintosh в среде. Я ищу информацию о клиенте Mac OS X, а также о сервере Mac OS X. Сейчас для меня непрактично проверять все Mac в среде на предмет их конкретной версии OpenSSL , но у меня уже есть информация о версии Mac OS X для затронутых машин.

Никакие версии OS X не затронуты (ни iOS не затронуты). Только установка стороннего приложения или модификации может привести к тому, что программа Mac или OS X будет иметь эту уязвимость / ошибку в OpenSSL версии 1.0.x

Apple отказалась от OpenSSL на OS X в декабре 2012 года, если не раньше. Нет версии OpenSSL, которая была бы уязвима для CVE-2014-0160 (он же « Ошибка Heartbleed» )

Apple предоставляет несколько альтернативных интерфейсов приложений, которые предоставляют SSL разработчикам Mac, и говорит об OpenSSL:

OpenSSL не предоставляет стабильный API от версии к версии. По этой причине, хотя OS X предоставляет библиотеки OpenSSL, библиотеки OpenSSL в OS X устарели, и OpenSSL никогда не предоставлялся как часть iOS. Использование библиотек OS X OpenSSL приложениями настоятельно не рекомендуется.

В частности, последняя версия OpenSSL, поставляемая Apple, - это OpenSSL 0.9.8y, 5 февраля 2013 г., которая, похоже, не содержит ошибки из более новых версий OpenSSL, перенесенной в код для версии библиотеки Apple.

PDF этой документации содержит несколько четко написанных советов для разработчиков и некоторые разделы, которые полезны как для профессионалов, так и для пользователей, ориентированных на безопасность.

• OpenSSL для разработчиков Mac и PDF-версия Руководства Apple по криптографическим сервисам

Учитывая это, единственной оставшейся проблемой будет дополнительное программное обеспечение, созданное для OpenSSL, например, несколько программ для Homebrew ( brew updateзатем brew upgrade) или MacPorts ( port self updateпосле port upgrade openssl) для обновления до исправленной версии openx 1.x.

Кроме того, вы можете использовать mdfind / mdls для проверки файлов с именем openssl на тот случай, если у вас есть другие приложения, которые объединяют эту библиотеку в соответствии с рекомендациями Apple, а не в зависимости от «безопасной» версии, которую Apple все еще поставляет с OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Я работал openssl versionна каждом Mac, я мог получить в свои руки ^1, и все они показывают:

OpenSSL 0.9.8y 5 Feb 2013

… Включая текущую последнюю версию: OS X 10.9.2.

Поэтому я могу сделать вывод, что Heartbleed не затрагивает ни одну версию OS X.

^{1, а также те, которые я не мог и только что имел SSH - все еще проверенный, хотя машины производства важны! Всего я протестировал около 30 машин с различными версиями OS X.}

Хотя OS X не поставляется с уязвимыми выпусками OpenSSL, все же настоятельно рекомендуется сделать это openssl versionна тот случай, если он был установлен как часть какого-либо стороннего пакета.

Например, мой компьютер сообщил, OpenSSL 1.0.1f 6 Jan 2014что он был включен в качестве зависимости для чего-то, что я установил через MacPorts. sudo port upgrade outdatedрешил это, конечно.