Quelles versions d'OS X sont affectées par Heartbleed?

Quelles versions d'OS X sont livrées par défaut avec les versions concernées d' OpenSSL ?

Tout le trafic Internet est actuellement bouché par les mêmes informations génériques concernant le bogue Heartbleed, sans aucune attention portée à Macintosh dans l'environnement. Je recherche des informations sur le client Mac OS X ainsi que sur le serveur Mac OS X. À l'heure actuelle, il est impossible pour moi de vérifier la version spécifique d' OpenSSL sur tous les Mac de l'environnement , mais j'ai déjà les informations de version de Mac OS X pour les ordinateurs affectés.

Aucune version de OS X n'est affectée (ni iOS n'est affecté). Si vous n'installez ou modifiez une application tierce, un programme Mac ou OS X présente cette vulnérabilité / ce bogue dans OpenSSL version 1.0.x

Apple a déconseillé d'utiliser OpenSSL sur OS X en décembre 2012, sinon plus tôt. Aucune version d'OpenSSL vulnérable à CVE-2014-0160 (alias le bogue Heartbleed )

Apple fournit plusieurs interfaces d’application alternatives fournissant SSL aux développeurs Mac et a ceci à dire à propos de OpenSSL:

OpenSSL ne fournit pas une API stable de version en version. Pour cette raison, bien que OS X fournisse des bibliothèques OpenSSL, les bibliothèques OpenSSL sous OS X sont obsolètes et OpenSSL n'a jamais été fourni avec iOS. L'utilisation des bibliothèques OpenSSL OS X par les applications est fortement déconseillée.

Plus précisément, la dernière version d'OpenSSL fournie par Apple est OpenSSL 0.9.85 du 5 février 2013, qui ne semble pas avoir le bogue des versions plus récentes d'OpenSSL dans le code de la version Apple de la bibliothèque.

Le PDF de cette documentation contient des conseils clairement écrits pour les développeurs et des sections utiles pour les professionnels ou les utilisateurs soucieux de la sécurité.

• Développeurs OpenSSL pour Mac et version PDF du Guide des services de cryptographie d'Apple

Compte tenu de cela, il ne resterait plus que des logiciels supplémentaires construits contre OpenSSL, par exemple plusieurs logiciels sous Homebrew ( brew updatesuivis de brew upgrade) ou MacPorts ( port self updatesuivis de port upgrade openssl) pour mettre à jour la version 1.x corrigée de openSSL.

Vous pouvez également utiliser mdfind / mdls pour vérifier les fichiers nommés openssl si d’autres applications regroupent cette bibliothèque comme le recommande Apple, plutôt que de dépendre de la version "sûre". Apple est toujours livré avec OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

J'ai couru openssl versionsur tous les Mac où j'ai pu mettre la main sur ¹ et ils ont tous montré:

OpenSSL 0.9.8y 5 Feb 2013

… Y compris la dernière version actuelle: OS X 10.9.2.

Par conséquent, je peux conclure qu'aucune version d'OS X n'est affectée par Heartbleed.

^{1 et des machines que je ne pouvais pas et que je venais juste de faire SSH - toujours testées, les machines de production sont importantes! Au total, j'ai testé environ 30 machines avec différentes versions d'OS X.}

Bien qu'OS X ne soit pas livré avec les versions concernées d'OpenSSL, il est vivement recommandé de procéder openssl versionà une telle installation au cas où l'une d'entre elles aurait pu être installée dans le cadre d'un package tiers.

Par exemple, mon ordinateur a signalé le OpenSSL 1.0.1f 6 Jan 2014fait qu’il avait été inclus en tant que dépendance de quelque chose que j’avais installé via MacPorts. sudo port upgrade outdatedrésolu ceci, bien sûr.