Pourquoi Apple utilise-t-il une version vulnérable d'OpenSSL?
Ce n'est pas le cas.
Si vous cliquez sur le lien que vous avez publié dans votre question, vous verrez que cette mise à jour corrige un certain nombre de vulnérabilités qui existent de manière identique dans OpenSSL 0.9.8, 1.0.0, 1.0.1 et 1.0.2.
En d'autres termes, la version que vous suggérerez plus tard comme alternative, 1.0.2, était tout aussi vulnérable que 0.9.8, et les deux ont été corrigées en même temps.
Avec la dernière mise à jour OS X ( 10.10.5 ), Apple présente OpenSSL 0.9.8 . J'ai parcouru la page officielle d'OpenSSL , et là j'ai pu obtenir la version 1.0.2 .
Apple met à jour OpenSSL à 0.9.8zg, qui n'a que 2 mois et seulement 4 semaines de plus que 1.0.2d.
Ma question est la suivante: pourquoi Apple utilise-t-il une ancienne version d'OpenSSL? Est-ce à cause des fonctions obsolètes de la version 1.0 ou quelle en est la raison?
C'est quelque chose que vous devrez demander à Apple. Ma meilleure supposition est que 0.9.8 est la version avec laquelle ils ont fait leurs tests de compatibilité, et la mise à niveau vers une version plus récente nécessiterait une toute nouvelle série de tests pour un composant qui est de toute façon obsolète. Comme il est obsolète, les logiciels plus récents (qui pourraient éventuellement s'appuyer sur de nouvelles fonctionnalités) ne devraient pas l'utiliser de toute façon, et les logiciels plus anciens qui l'utilisent encore n'utilisent pas les nouvelles fonctionnalités (car ils n'existaient pas) et pourraient même être cassés par une mise à jour, alors pourquoi s'embêter?
Tant que la communauté OpenSSL maintient toujours la branche 0.9.8, Apple n'a même pas à faire le travail de rétroportage des correctifs.
Notez que cela n'a rien d'inhabituel. Apple a livré une ancienne version de Ruby pendant très longtemps, et ils ne sont généralement pas mis à jour pendant un cycle de publication, uniquement entre les versions. Les distributions Linux ainsi que les BSD et autres distributions Unix ne mettent généralement pas à jour les versions pendant une version, ils appliquent uniquement des corrections de bugs et des correctifs de sécurité. Debian, en particulier, ne corrige généralement pas tous les bogues, seulement les vulnérabilités de sécurité et les bogues qui pourraient entraîner une perte de données utilisateur - tout changement, même un correctif de bogue est une incompatibilité potentielle et un potentiel de nouveaux bogues; les bogues connus sont meilleurs que les bogues inconnus!
OpenSSL est officiellement obsolète. Il existe (pour le peu de temps qu'Apple autorise à l'avenir) à ne pas casser les logiciels qui ne migrent pas vers l'alternative d'Apple ou ne regroupent pas SSL en interne avec l'application.
Voir le lien Apple Developer pour l'annonce de dépréciation: (les autres liens sont plus faciles à lire / plus de synthèse du pourquoi quant au quoi )
la source