Quelles versions d'OS X sont livrées par défaut avec les versions concernées d' OpenSSL ?
Tout le trafic Internet est actuellement bouché par les mêmes informations génériques concernant le bogue Heartbleed, sans aucune attention portée à Macintosh dans l'environnement. Je recherche des informations sur le client Mac OS X ainsi que sur le serveur Mac OS X. À l'heure actuelle, il est impossible pour moi de vérifier la version spécifique d' OpenSSL sur tous les Mac de l'environnement , mais j'ai déjà les informations de version de Mac OS X pour les ordinateurs affectés.
Réponses:
Aucune version de OS X n'est affectée (ni iOS n'est affecté). Si vous n'installez ou modifiez une application tierce, un programme Mac ou OS X présente cette vulnérabilité / ce bogue dans OpenSSL version 1.0.x
Apple a déconseillé d'utiliser OpenSSL sur OS X en décembre 2012, sinon plus tôt. Aucune version d'OpenSSL vulnérable à CVE-2014-0160 (alias le bogue Heartbleed )
Apple fournit plusieurs interfaces d’application alternatives fournissant SSL aux développeurs Mac et a ceci à dire à propos de OpenSSL:
Plus précisément, la dernière version d'OpenSSL fournie par Apple est OpenSSL 0.9.85 du 5 février 2013, qui ne semble pas avoir le bogue des versions plus récentes d'OpenSSL dans le code de la version Apple de la bibliothèque.
Le PDF de cette documentation contient des conseils clairement écrits pour les développeurs et des sections utiles pour les professionnels ou les utilisateurs soucieux de la sécurité.
Compte tenu de cela, il ne resterait plus que des logiciels supplémentaires construits contre OpenSSL, par exemple plusieurs logiciels sous Homebrew (
brew update
suivis debrew upgrade
) ou MacPorts (port self update
suivis deport upgrade openssl
) pour mettre à jour la version 1.x corrigée de openSSL.Vous pouvez également utiliser mdfind / mdls pour vérifier les fichiers nommés openssl si d’autres applications regroupent cette bibliothèque comme le recommande Apple, plutôt que de dépendre de la version "sûre". Apple est toujours livré avec OS X.
la source
port selfupdate
suivi deport upgrade openssl
vous obtiendrez la version 1.0.1g corrigée.J'ai couru
openssl version
sur tous les Mac où j'ai pu mettre la main sur 1 et ils ont tous montré:… Y compris la dernière version actuelle: OS X 10.9.2.
Par conséquent, je peux conclure qu'aucune version d'OS X n'est affectée par Heartbleed.
1 et des machines que je ne pouvais pas et que je venais juste de faire SSH - toujours testées, les machines de production sont importantes! Au total, j'ai testé environ 30 machines avec différentes versions d'OS X.
la source
Bien qu'OS X ne soit pas livré avec les versions concernées d'OpenSSL, il est vivement recommandé de procéder
openssl version
à une telle installation au cas où l'une d'entre elles aurait pu être installée dans le cadre d'un package tiers.Par exemple, mon ordinateur a signalé le
OpenSSL 1.0.1f 6 Jan 2014
fait qu’il avait été inclus en tant que dépendance de quelque chose que j’avais installé via MacPorts.sudo port upgrade outdated
résolu ceci, bien sûr.la source
OpenSSL 1.0.1g 7 Apr 2014
la version corrigée / corrigée.