¿Qué versiones de OS X están afectadas por Heartbleed?

55

¿Qué versiones de OS X vienen predeterminadas con las versiones afectadas de OpenSSL ?

En este momento, todo el tráfico de Internet está obstruido con la misma información genérica con respecto al error Heartbleed, sin que se preste ninguna atención a Macintosh en el entorno. Estoy buscando información sobre el cliente de Mac OS X y el servidor de Mac OS X. En este momento no es práctico que compruebe todos los Mac en el entorno para su versión específica de OpenSSL , pero ya tengo el Información de la versión de Mac OS X para las máquinas afectadas.

    
pregunta MDMoore313 08.04.2014 - 19:41

3 respuestas

63

Ninguna versión de OS X está afectada (ni iOS está afectada). Solo la instalación de una aplicación o modificación de un tercero resultaría en que un programa de Mac o OS X tenga esa vulnerabilidad / error en OpenSSL versión 1.0.x

Apple desaprobó OpenSSL en OS X en diciembre de 2012, si no antes. No hay una versión de OpenSSL que sea vulnerable a CVE-2014-0160 ( también conocido como error de Heartbleed )

Apple proporciona varias interfaces de aplicación alternativas que proporcionan SSL a los desarrolladores de Mac y tiene esto que decir sobre OpenSSL:

  

OpenSSL no proporciona una API estable de una versión a otra. Por esta razón, aunque OS X proporciona bibliotecas OpenSSL, las bibliotecas OpenSSL en OS X están en desuso, y OpenSSL nunca se ha proporcionado como parte de iOS. El uso de las bibliotecas OS X OpenSSL por parte de las aplicaciones no se recomienda.

Específicamente, la última versión de OpenSSL enviada por Apple es OpenSSL 0.9 .8y 5 feb 2013 que no parece tener el error de las versiones más recientes de OpenSSL transferido al código de la versión de Apple de la biblioteca.

El PDF de esta documentación contiene algunos consejos claramente escritos para desarrolladores y algunas secciones que son útiles para los profesionales o también para los usuarios preocupados por la seguridad.

Teniendo en cuenta esto, el único problema restante sería el software adicional que se construyó contra OpenSSL, por ejemplo. varios en Homebrew ( brew update seguido de brew upgrade ) o MacPorts ( port self update seguido de port upgrade openssl ) para actualizar a la versión 1.x parcheada de openSSL.

Además, podría usar mdfind / mdls para verificar los archivos llamados openssl en caso de que tenga otras aplicaciones que agrupen esa biblioteca como Apple recomienda en lugar de depender de la versión "segura" que Apple aún se entrega con OS X.

for ff in 'mdfind kMDItemFSName = "openssl"'; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
    
respondido por el bmike 08.04.2014 - 20:49
16

He ejecutado openssl version en cada Mac que pude obtener de 1 y todas muestran:

OpenSSL 0.9.8y 5 Feb 2013

... incluida la última versión actual: OS X 10.9.2.

Por lo tanto, puedo concluir que ninguna versión de OS X está afectada por Heartbleed.

1 y también los que no pude y solo tuve SSH, aunque todavía se han probado, ¡las máquinas de producción son importantes! En total, probé alrededor de 30 máquinas con varias versiones de OS X.

    
respondido por el grg 08.04.2014 - 19:51
10

Si bien OS X no se distribuye con las versiones afectadas de OpenSSL, se recomienda encarecidamente realizar un openssl version en caso de que se haya instalado uno como parte de un paquete de terceros.

Por ejemplo, mi computadora reportó OpenSSL 1.0.1f 6 Jan 2014 porque se había incluido como una dependencia para algo que había instalado a través de MacPorts. sudo port upgrade outdated resolvió esto, por supuesto.

    
respondido por el Daniel Perván 08.04.2014 - 23:55

Lea otras preguntas en las etiquetas