OS X รุ่นใดที่ได้รับผลกระทบจาก Heartbleed

รุ่นของ OS X อะไรมาเริ่มต้นกับรุ่นรับผลกระทบของOpenSSL ?

การรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมดในขณะนี้ถูกอุดตันด้วยข้อมูลทั่วไปที่เหมือนกันในเรื่องของ Heartbleed bug โดยไม่สนใจ Macintosh ในสภาพแวดล้อม ฉันกำลังมองหาข้อมูลเกี่ยวกับไคลเอนต์ Mac OS X เช่นเดียวกับเซิร์ฟเวอร์ Mac OS X ตอนนี้มันเป็นไปไม่ได้เลยที่ฉันจะตรวจสอบ Mac ทั้งหมดในสภาพแวดล้อมสำหรับOpenSSLรุ่นเฉพาะของพวกเขาแต่ฉันมีข้อมูลเวอร์ชั่น Mac OS X สำหรับเครื่องที่ได้รับผลกระทบแล้ว

macos openssl

— MDMoore313
แหล่งที่มา

นี่เป็นข้อกังวลสำหรับเว็บเซิร์ฟเวอร์มากกว่าไคลเอนต์ที่ใช้ในการเชื่อมต่อกับพวกเขา ข้อมูลของคุณสามารถถูกบุกรุกได้แม้ว่าเครื่องของคุณจะไม่ได้ใช้ OpenSSL เวอร์ชัน Heartbleed ก็ตาม

— ⱮarkƬ

@ Mark เป็นจริง แต่เกิดอะไรขึ้นเมื่อมีคนต้องการเรียกใช้แอปที่เปลี่ยนเครื่องของพวกเขาให้กลายเป็นเว็บเซิร์ฟเวอร์และใช้ OpenSSL เวอร์ชันในตัว แอพ Mac อาจไม่มาก แต่นั่นเป็นสาเหตุที่ฉันถามเกี่ยวกับเซิร์ฟเวอร์ OS X ด้วย โทรศัพท์มือถือมีแนวโน้มที่จะได้รับผลกระทบมากกว่าแม้ว่าแอพมือถือ b / ca จำนวนมากพยายามที่จะใช้ฟังก์ชั่นนั้น

— MDMoore313

อย่างไรก็ตามคำถามทั้งหมดส่วนใหญ่พลาดจุดที่ไม่ใช่เครื่องไคลเอนต์ที่ตกอยู่ในอันตราย แต่เป็นเซิร์ฟเวอร์ หากคุณกำลังเข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีนั่นไม่สำคัญว่าคุณจะเรียกใช้ MacOS X หรือ Windows 95 คุณกำลังเข้าถึงเซิร์ฟเวอร์ที่อาจรั่วไหลข้อมูลใด ๆ ที่เซิร์ฟเวอร์มีเกี่ยวกับตัวคุณ เป็นเรื่องที่น่าสนใจหากคุณใช้ Mac ของคุณเป็นเซิร์ฟเวอร์

— gnasher729

ไม่จริง. การหาประโยชน์สามารถใช้โดยเซิร์ฟเวอร์ที่เป็นอันตรายต่อลูกค้าที่ใช้ OpenSSL เพื่อทำการเชื่อมต่อ

— Michael Hampton

@ gnasher729 ไม่มีเหตุผลที่คุณไม่สามารถถามคำถามอื่นเกี่ยวกับประเด็นที่คุณรู้สึกว่าขาดหายไปได้ คำถามและคำตอบนี้แคบและเน้นที่ OS X เวอร์ชั่นใดที่อาจมีเนื้อหาหน่วยความจำของพวกเขาเปิดเผยกับเครือข่ายโดยบั๊กการเขียนโปรแกรม มันไม่ได้หมายถึงการประเมินความเสี่ยงทั่วไปสำหรับผู้ใช้ Mac หรือแม้แต่ภาพที่ใหญ่ขึ้น

— bmike

คำตอบ:

ไม่มี OS X เวอร์ชันใดที่ได้รับผลกระทบ (และ iOS นั้นไม่ได้รับผลกระทบ) เฉพาะการติดตั้งแอพของบุคคลที่สามหรือการปรับเปลี่ยนจะส่งผลให้โปรแกรม Mac หรือ OS X มีช่องโหว่ / ข้อบกพร่องนั้นใน OpenSSL เวอร์ชั่น 1.0.x

Apple เลิกใช้ OpenSSL บน OS X ในเดือนธันวาคม 2555 ถ้าไม่ใช่ก่อนหน้านี้ OpenSSL รุ่นที่ไม่มีความเสี่ยงต่อCVE-2014-0160 (aka Heartbleed Bug )

Apple มีอินเตอร์เฟสแอปพลิเคชั่นสำรองหลายตัวที่ให้บริการ SSL แก่นักพัฒนา Mac และมีสิ่งนี้ที่จะพูดเกี่ยวกับ OpenSSL:

OpenSSL ไม่ได้จัดเตรียม API ที่มีเสถียรภาพจากรุ่นสู่รุ่น ด้วยเหตุผลนี้แม้ว่า OS X จะมีไลบรารี OpenSSL แต่ไลบรารี OpenSSL ใน OS X จะถูกคัดค้านและ OpenSSL ไม่เคยถูกจัดให้เป็นส่วนหนึ่งของ iOS การใช้ไลบรารี OS X OpenSSL โดยแอพเป็นสิ่งที่ไม่ควรทำ

โดยเฉพาะรุ่นล่าสุดของ OpenSSL ที่จัดส่งโดย AppleคือOpenSSL 0.9.8y 5 ก.พ. 2556ซึ่งดูเหมือนจะไม่มีข้อผิดพลาดจาก OpenSSL เวอร์ชันใหม่กว่ากลับไปที่โค้ดสำหรับไลบรารีเวอร์ชันของ Apple

PDF ของเอกสารนี้มีคำแนะนำที่ชัดเจนเป็นลายลักษณ์อักษรสำหรับนักพัฒนาและบางส่วนที่มีประโยชน์สำหรับมืออาชีพหรือผู้ใช้ที่คำนึงถึงความปลอดภัยเช่นกัน

OpenSSL สำหรับนักพัฒนา Macและคู่มือ Cryptographic Services ของ Apple เวอร์ชัน PDF

เมื่อพิจารณาถึงสิ่งนี้ปัญหาที่เหลืออยู่เพียงอย่างเดียวคือซอฟต์แวร์เพิ่มเติมที่สร้างขึ้นจาก OpenSSL เช่นใน Homebrew ( brew updateตามด้วยbrew upgrade) หรือ MacPorts ( port self updateตามด้วยport upgrade openssl) เพื่ออัปเดตเป็น openSSL เวอร์ชัน 1.x ที่ได้รับการแก้ไข

นอกจากนี้คุณสามารถใช้ mdfind / mdls เพื่อตรวจสอบไฟล์ที่ชื่อว่า openssl ในกรณีที่คุณมีแอปพลิเคชั่นอื่น ๆ ที่รวมไลบรารีดังกล่าวตามที่ Apple แนะนำแทนที่จะขึ้นอยู่กับรุ่น "ปลอดภัย" ที่ Apple ยังมาพร้อมกับ OS X

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

— bmike
แหล่งที่มา

สำหรับผู้ที่ใช้ MacPorts พวกเขาได้เปิดตัว OpenSSL ที่อัปเดตแล้วเช่นกัน วิ่งport selfupdateตามมาคุณport upgrade opensslจะได้รับเวอร์ชั่น 1.0.1g ที่แน่นอนแล้ว

— coredumperror

@CoreDumpError ขอบคุณสำหรับการ - ฉันได้ฝังคำสั่งของคุณในคำตอบเพื่อให้ผู้คนเห็นอย่างชัดเจนถัดจาก "สูตร" homebrew

— bmike

นอกจากนี้ยังเป็นที่น่าสังเกตว่าซอฟต์แวร์ไคลเอ็นต์ของ Apple ใช้ Secure Transport, รหัสของ Apple ไม่ใช่ OpenSSL เช่นเดียวกันกับซอฟต์แวร์ใด ๆ ที่ใช้ Cocoa หรือ Core Foundation APIs เพื่อสื่อสารผ่าน 'เน็ต

— alastair

ความอยากรู้: คุณรู้ไหมว่าทำไม Apple ถึงหยุดใช้ OpenSSL

— Roberto

FWIW - พบข้อบกพร่องที่ไม่เกี่ยวข้องในรหัส SSL ของ Apple น้อยกว่า 2 เดือนที่ผ่านมา: nakedsecurity.sophos.com/2014/02/24/…

— เอลเลียต

ฉันทำงานopenssl versionบน Mac ทุกเครื่องฉันสามารถใช้มือกับ¹และแสดงได้ทั้งหมด:

OpenSSL 0.9.8y 5 Feb 2013

…รวมถึงเวอร์ชันล่าสุดปัจจุบัน: OS X 10.9.2

ดังนั้นฉันสามารถสรุปได้ว่าไม่มีเวอร์ชั่นของ OS X ที่ได้รับผลกระทบจาก Heartbleed

^{¹และอีกอย่างที่ฉันทำไม่ได้และเพิ่งมี SSH - ยังคงผ่านการทดสอบเครื่องจักรที่สำคัญ! ทั้งหมดในทั้งหมดฉันทดสอบประมาณ 30 เครื่องด้วย OS X เวอร์ชั่นต่าง ๆ}

— grg
แหล่งที่มา

> การตรวจสอบขอบเขตที่หายไปในการจัดการ TLS heartbeat extension สามารถใช้เพื่อเปิดเผยหน่วยความจำสูงสุด 64k ไปยังไคลเอนต์หรือเซิร์ฟเวอร์ที่เชื่อมต่อ > ** เฉพาะ OpenSSL รุ่น 1.0.1 และ 1.0.2-beta เท่านั้นที่ได้รับผลกระทบ ได้แก่ 1.0.1f และ 1.0.2-beta1 ** ผ่านopenssl.org (เน้นเพิ่ม) ดังนั้นในขณะที่ grgarside กล่าวว่า ...

— dwightk

@dwightk คำถามเกี่ยวกับเวอร์ชันของOS X ที่มีหนึ่งในเวอร์ชัน OpenSSL ที่ได้รับผลกระทบ เวอร์ชันของ OpenSSL ที่ได้รับผลกระทบนั้นเป็นที่รู้จักกันดีขอบคุณ

— MDMoore313

ในขณะที่ OS X ไม่ได้จัดส่งมาพร้อมกับการเปิดตัวของ OpenSSL ที่ได้รับผลกระทบมันก็ยังคงเป็นอย่างยิ่งที่จะทำopenssl versionในกรณีที่อาจมีการติดตั้งเป็นส่วนหนึ่งของแพคเกจของบุคคลที่สาม

ตัวอย่างเช่นคอมพิวเตอร์ของฉันรายงานOpenSSL 1.0.1f 6 Jan 2014เพราะรวมอยู่ในการอ้างอิงสำหรับสิ่งที่ฉันติดตั้งผ่าน MacPorts sudo port upgrade outdatedแก้ไขสิ่งนี้แน่นอน

— Daniel Perván
แหล่งที่มา

OS X มันคือ (ไม่ใช่ OSX)

— Peter Mortensen

@Peter Mortensen: แก้ไข :)

— Daniel Perván

และถ้าคุณมี 1.x ถ้าอย่างนั้นคุณจะเห็นOpenSSL 1.0.1g 7 Apr 2014ว่าเวอร์ชั่นที่ปลอดภัย / ได้รับการติดตั้งแล้ว

— drfrogsplat