Quelles versions d'OS X sont affectées par Heartbleed?

55

Quelles versions d'OS X sont livrées par défaut avec les versions concernées d' OpenSSL ?

Tout le trafic Internet est actuellement bouché par les mêmes informations génériques concernant le bogue Heartbleed, sans aucune attention portée à Macintosh dans l'environnement. Je recherche des informations sur le client Mac OS X ainsi que sur le serveur Mac OS X. À l'heure actuelle, il est impossible pour moi de vérifier la version spécifique d' OpenSSL sur tous les Mac de l'environnement , mais j'ai déjà les informations de version de Mac OS X pour les ordinateurs affectés.

MDMoore313
la source
Cela concerne davantage les serveurs Web que les clients qui s'y connectent. Vos informations peuvent être compromises même si votre ordinateur ne dispose pas de la version OpenSSL de Heartbleed.
Octobre
1
@Mark true, mais que se passe-t-il lorsque quelqu'un souhaite exécuter une application qui transforme sa machine en serveur Web et utilise la version intégrée d'OpenSSL? Les applications Mac ne sont peut-être pas tellement importantes, mais c'est pourquoi j'ai aussi posé des questions sur le serveur OS X. Les mobiles seront probablement plus affectés bien que beaucoup d'applications mobiles tentent d'implémenter cette fonctionnalité.
MDMoore313
Cependant, toute la question passe à côté du fait que ce ne sont pas les ordinateurs clients qui sont en danger, mais les serveurs. Si vous accédez à un serveur compromis, que vous utilisiez MacOS X ou Windows 95 ou non, vous accédez à un serveur susceptible de divulguer des informations vous concernant. Ce n'est intéressant que si vous utilisez votre propre Mac en tant que serveur.
gnasher729
2
Pas vrai. L'exploit peut être utilisé par des serveurs malveillants contre des clients qui utilisent OpenSSL pour établir la connexion.
Michael Hampton
3
@ gnasher729 Il n'y a aucune raison pour que vous ne puissiez pas poser une question différente sur le point qui vous semble manquer. Ce Q & A est restreint et porte sur les versions d'OS X dont le contenu de la mémoire pourrait être exposé au réseau par un bogue de programmation. Il ne s'agit pas d'une évaluation générale des risques pour tout utilisateur de Mac, ni même pour une image plus grande.
bmike

Réponses:

63

Aucune version de OS X n'est affectée (ni iOS n'est affecté). Si vous n'installez ou modifiez une application tierce, un programme Mac ou OS X présente cette vulnérabilité / ce bogue dans OpenSSL version 1.0.x


Apple a déconseillé d'utiliser OpenSSL sur OS X en décembre 2012, sinon plus tôt. Aucune version d'OpenSSL vulnérable à CVE-2014-0160 (alias le bogue Heartbleed )

Apple fournit plusieurs interfaces d’application alternatives fournissant SSL aux développeurs Mac et a ceci à dire à propos de OpenSSL:

OpenSSL ne fournit pas une API stable de version en version. Pour cette raison, bien que OS X fournisse des bibliothèques OpenSSL, les bibliothèques OpenSSL sous OS X sont obsolètes et OpenSSL n'a jamais été fourni avec iOS. L'utilisation des bibliothèques OpenSSL OS X par les applications est fortement déconseillée.

Plus précisément, la dernière version d'OpenSSL fournie par Apple est OpenSSL 0.9.85 du 5 février 2013, qui ne semble pas avoir le bogue des versions plus récentes d'OpenSSL dans le code de la version Apple de la bibliothèque.

Le PDF de cette documentation contient des conseils clairement écrits pour les développeurs et des sections utiles pour les professionnels ou les utilisateurs soucieux de la sécurité.

Compte tenu de cela, il ne resterait plus que des logiciels supplémentaires construits contre OpenSSL, par exemple plusieurs logiciels sous Homebrew ( brew updatesuivis de brew upgrade) ou MacPorts ( port self updatesuivis de port upgrade openssl) pour mettre à jour la version 1.x corrigée de openSSL.

Vous pouvez également utiliser mdfind / mdls pour vérifier les fichiers nommés openssl si d’autres applications regroupent cette bibliothèque comme le recommande Apple, plutôt que de dépendre de la version "sûre". Apple est toujours livré avec OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
la source
8
Pour ceux qui utilisent MacPorts, ils ont également publié un OpenSSL mis à jour. Courir port selfupdatesuivi de port upgrade opensslvous obtiendrez la version 1.0.1g corrigée.
Coredumperror
1
@CoreDumpError Merci pour cela - j'ai intégré vos commandes dans la réponse afin que les gens la voient clairement juste à côté de la "recette" de l'homebrew.
bmike
Il est également intéressant de noter que le logiciel client d’Apple utilise Secure Transport, son propre code, et non OpenSSL; Il en va de même pour tout logiciel utilisant les API Cocoa ou Core Foundation pour communiquer sur le Net.
alastair
Curiosité: savez-vous pourquoi Apple a cessé d’utiliser OpenSSL?
Roberto
FWIW - Un bogue sans rapport a été détecté dans le code SSL d'Apple il y a moins de 2 mois: nakedsecurity.sophos.com/2014/02/24/…
Elliot
16

J'ai couru openssl versionsur tous les Mac où j'ai pu mettre la main sur 1 et ils ont tous montré:

OpenSSL 0.9.8y 5 Feb 2013

… Y compris la dernière version actuelle: OS X 10.9.2.

Par conséquent, je peux conclure qu'aucune version d'OS X n'est affectée par Heartbleed.

1 et des machines que je ne pouvais pas et que je venais juste de faire SSH - toujours testées, les machines de production sont importantes! Au total, j'ai testé environ 30 machines avec différentes versions d'OS X.

grg
la source
> Une vérification des limites manquante dans la gestion de l'extension de pulsation TLS peut être utilisée pour révéler jusqu'à 64 ko de mémoire à un client ou à un serveur connecté. > ** Seules les versions 1.0.1 et 1.0.2-bêta d'OpenSSL sont concernées, notamment 1.0.1f et 1.0.2- bêta 1. ** via openssl.org (non souligné dans l'original). Donc, comme l'a dit le groupe ...
dimanche
@dwightk La question visait à savoir quelles versions d' OS X avaient l'une des versions OpenSSL concernées . Les versions d'OpenSSL effectuées sont bien connues, merci.
MDMoore313
10

Bien qu'OS X ne soit pas livré avec les versions concernées d'OpenSSL, il est vivement recommandé de procéder openssl versionà une telle installation au cas où l'une d'entre elles aurait pu être installée dans le cadre d'un package tiers.

Par exemple, mon ordinateur a signalé le OpenSSL 1.0.1f 6 Jan 2014fait qu’il avait été inclus en tant que dépendance de quelque chose que j’avais installé via MacPorts. sudo port upgrade outdatedrésolu ceci, bien sûr.

Daniel Perván
la source
3
OS X c'est (pas OSX).
Peter Mortensen
@ Peter Mortensen: corrigé :)
Daniel Perván
Et, si vous avez 1.x, idéalement, vous verrez OpenSSL 1.0.1g 7 Apr 2014la version corrigée / corrigée.
drfrogsplat