เหตุใด Apple จึงใช้ OpenSSL เวอร์ชันเก่ากว่า


16

กับใหม่ล่าสุด OS X Update ( 10.10.5 ), แอปเปิ้ลจะแนะนำOpenSSL 0.9.8 ฉันเรียกดูผ่านหน้า OpenSSL อย่างเป็นทางการและมีฉันจะได้รับเวอร์ชัน 1.0.2

คำถามของฉันคือเหตุใด Apple จึงใช้ OpenSSL เวอร์ชันเก่ากว่า เป็นเพราะฟังก์ชั่นที่เลิกใช้แล้วในเวอร์ชั่น 1.0 หรืออะไรคือเหตุผลที่อยู่เบื้องหลัง

ที่มา: หน้าความปลอดภัยของ Apple

คำตอบ:


20

เหตุใด Apple จึงใช้ OpenSSL เวอร์ชันที่มีช่องโหว่

มันไม่ใช่

หากคุณคลิกที่ลิงก์ที่คุณโพสต์ไว้ในคำถามของคุณคุณจะเห็นว่าการอัปเดตนี้จะแก้ไขช่องโหว่จำนวนหนึ่งซึ่งมีอยู่เหมือนกันใน OpenSSL 0.9.8, 1.0.0, 1.0.1 และ 1.0.2

ดังนั้นในอีกนัยหนึ่งเวอร์ชันที่คุณแนะนำในภายหลังว่าเป็นทางเลือกคือ 1.0.2 มีความเสี่ยงเท่ากับ 0.9.8 และทั้งสองได้รับการแก้ไขในเวลาเดียวกัน

กับใหม่ล่าสุด OS X Update ( 10.10.5 ), แอปเปิ้ลจะแนะนำOpenSSL 0.9.8 ฉันเรียกดูผ่านหน้า OpenSSL อย่างเป็นทางการและมีฉันจะได้รับเวอร์ชัน 1.0.2

Apple กำลังอัปเดต OpenSSL เป็น 0.9.8zg ซึ่งเพิ่งมีอายุ 2 เดือนและมีอายุเพียง 4 สัปดาห์กว่า 1.0.2d

คำถามของฉันคือเหตุใด Apple จึงใช้ OpenSSL เวอร์ชันเก่ากว่า เป็นเพราะฟังก์ชั่นที่เลิกใช้แล้วในเวอร์ชั่น 1.0 หรืออะไรคือเหตุผลที่อยู่เบื้องหลัง

นั่นคือสิ่งที่คุณจะต้องถาม Apple ฉันเดาได้ดีที่สุดว่า 0.9.8 เป็นรุ่นที่พวกเขาทำการทดสอบความเข้ากันได้กับมันและการอัพเกรดเป็นเวอร์ชั่นใหม่จะต้องมีการทดสอบรอบใหม่อย่างสมบูรณ์สำหรับส่วนประกอบที่เลิกใช้แล้ว เนื่องจากเป็นซอฟต์แวร์ที่เลิกใช้แล้วซอฟต์แวร์รุ่นใหม่ (ซึ่งอาจขึ้นอยู่กับคุณสมบัติใหม่กว่า) จึงไม่ควรใช้งานต่อไปและซอฟต์แวร์รุ่นเก่าซึ่งยังคงใช้งานอยู่จะไม่ใช้คุณสมบัติใหม่ (เพราะไม่มีอยู่) และอาจเสีย โดยการอัปเดตทำไมต้องกังวล

ตราบใดที่ชุมชน OpenSSL ยังคงรักษาสาขา 0.9.8 ไว้ Apple ไม่จำเป็นต้องทำงาน backporting patches

โปรดทราบว่านี่ไม่มีอะไรผิดปกติ Apple ส่ง Ruby รุ่นเก่ามาเป็นเวลานานและโดยทั่วไปจะไม่อัปเดตระหว่างรอบการเปิดตัวเฉพาะในระหว่างการเปิดตัว ลีนุกซ์ลีนุกซ์เช่นเดียวกับ BSDs และ Unix ดิสทริบิวชันอื่น ๆ โดยทั่วไปจะไม่อัปเดตเวอร์ชันในระหว่างการวางจำหน่าย, พวกมันใช้การแก้ไขข้อบกพร่องและการแก้ไขความปลอดภัยเท่านั้น โดยเฉพาะอย่างยิ่งเดเบียนมักจะไม่ได้แก้ไขข้อผิดพลาดทั้งหมดเพียงช่องโหว่ด้านความปลอดภัยและข้อบกพร่องซึ่งอาจส่งผลให้สูญเสียข้อมูลผู้ใช้ - การเปลี่ยนแปลงใด ๆ แม้กระทั่งข้อผิดพลาดคือความไม่ลงรอยกันที่อาจเกิดขึ้น ข้อบกพร่องที่รู้จักกันดีกว่าข้อผิดพลาดที่ไม่รู้จัก!


3
หากคุณรู้เรื่องนี้จริงพูดและบอกเราว่าคุณรู้ มิฉะนั้นสิ่งที่คุณกำลังทำคือการคาดเดา
Steve Chambers

OP เองเชื่อมโยงกับเอกสารที่ระบุอย่างชัดเจนว่ามีช่องโหว่จำนวนหนึ่ง (ช่องโหว่ล่าสุดทั้งหมดที่รู้จักใน OpenSSL) ได้รับการแก้ไขในการอัปเดตนั้น ให้ฉันใช้ถ้อยคำใหม่
Jörg W Mittag

1
ทำได้ดีมาก - ขอบคุณสำหรับการตัดผ่านตัวเลขและอธิบายว่าหลายสาขากำลังถูกย้ายไปข้างหน้าและแก้ไข +1 แน่นอน
bmike

โปรดทราบว่าตามกลยุทธ์การวางจำหน่ายในปัจจุบันสาขา OpenSSL 0.9.8 จะได้รับการสนับสนุนจนถึงสิ้นปี 2558 พร้อมกับสาขา 1.0.0 0.9.8 เป็น "รุ่นใหญ่" ภายใต้โครงการเวอร์ชันเก่าของพวกเขาและได้รับการรักษาตั้งแต่ปี 2005 การแก้ไขเล็กน้อยล่าสุดเป็น "zg", รุ่น 33 ปิดสาขาว่าตามNewslog นี้
IMSoP

17

OpenSSL เลิกใช้แล้วอย่างเป็นทางการ มีอยู่ (สำหรับเวลาเล็กน้อยที่ Apple อนุญาตให้ดำเนินการต่อไป) เพื่อไม่ให้ทำลายซอฟต์แวร์ที่ไม่ได้โอนย้ายไปยังทางเลือกอื่นของ Apple หรือรวม SSL ภายในกับแอป

ดูลิงก์ Apple Developer สำหรับการประกาศเลิกใช้: (ลิงก์อื่น ๆ นั้นอ่านง่ายขึ้น / การสังเคราะห์เพิ่มเติมว่าทำไมถึงเป็นอะไร )

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.