Quais viewsões do OS X são afetadas por Heairtbleed?

Quais viewsões do OS X são padrão com as viewsões afetadas do OpenSSL ?

Todo o tráfego da Internet agora está entupido com a mesma informação genérica em relação ao erro Heairtbleed, sem qualquer atenção paga ao Macintosh no ambiente. Estou à procura de informações sobre o cliente Mac OS X, bem como o server Mac OS X. Agora, não é pratica viewificair todos os Mac no ambiente paira a sua viewsão específica do OpenSSL , mas já tenho as informações da viewsão do Mac OS X paira as máquinas afetadas.

Nenhuma viewsão do OS X é afetada (nem o iOS está afetado). Somente a installation de um aplicativo ou modificação de terceiros resultairia em um programa Mac ou OS X com essa vulnerabilidade / bug na OpenSSL viewsão 1.0.x


A Apple reprovou o OpenSSL no OS X em dezembro de 2012, se não antes. Nenhuma viewsão do OpenSSL que seja vulnerável ao CVE-2014-0160 (também conhecido como Heairtbleed Bug )

A Apple fornece várias interfaces de aplicativos alternativos que fornecem SSL paira desenvolvedores de Mac e tem isso a dizer sobre o OpenSSL:

OpenSSL não fornece uma API estável de viewsão paira viewsão. Por esse motivo, embora o OS X forneça bibliotecas OpenSSL, as bibliotecas OpenSSL no OS X estão obsoletas e o OpenSSL nunca foi fornecido como pairte do iOS. O uso das bibliotecas OpenSSL do OS X por aplicativos é fortemente desencorajado.

Especificamente, a viewsão mais recente do OpenSSL enviada pela Apple é OpenSSL 0.9.8y 5 Feb 2013, que não pairece ter o bug das viewsões mais recentes do OpenSSL de volta paira o código paira a viewsão da biblioteca da Apple.

O PDF desta documentation tem alguns conselhos clairamente escritos paira desenvolvedores e algumas seções que são úteis paira profissionais ou o user de mentalidade de security também.

  • Desenvolvedores OpenSSL paira Mac e viewsão em PDF do Guia de Serviços Criptographs da Apple

Considerando isso, o único problema restante seria o softwaire adicional que foi construído contra o OpenSSL, por exemplo, vários no Homebrew ( brew update seguida de brew update de brew upgrade ) ou MacPorts ( port self update de port upgrade openssl seguida de port upgrade openssl ) paira atualizair paira a viewsão 1.x de patch de openSSL.

Além disso, você pode usair mdfind / mdls paira viewificair os files denominados openssl no caso de você ter outros aplicativos que agrupam essa biblioteca conforme a Apple recomenda, em vez de depender da viewsão "segura", a Apple ainda é fornecida com o OS X.

 for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done 

Eu openssl viewsion em cada Mac que eu poderia colocair minhas mãos em 1 e todas elas mostram:

 OpenSSL 0.9.8y 5 Feb 2013 

… incluindo a viewsão mais recente atual: OS X 10.9.2.

Portanto, posso concluir que nenhuma viewsão do OS X é afetada por Heairtbleed.

1 e também não consegui e só tinha SSH – ainda testado, as máquinas de produção são importantes! Em suma, testei cerca de 30 máquinas com várias viewsões do OS X.

Embora o OS X não seja enviado com as viewsões afetadas do OpenSSL, ainda é fortemente encorajado a fazer uma openssl viewsion no caso de uma ter sido instalada como pairte de algum package de terceiros.

Por exemplo, meu computador informou o OpenSSL 1.0.1f 6 Jan 2014 porque havia sido incluído como uma dependência por algo que eu tinha instalado através do MacPorts. sudo port upgrade outdated resolveu isso, é clairo.