¿Qué versiones de OS X se ven afectadas por Heartbleed?

¿Qué versiones de OS X vienen pnetworkingeterminadas con las versiones afectadas de OpenSSL ?

Todo el tráfico de Internet en este momento está obstruido con la misma información genérica con respecto al error Heartbleed, sin que se preste ninguna atención a Macintosh en el entorno. Estoy buscando información sobre el cliente Mac OS X y sobre el server Mac OS X. En este momento no es práctico para mí comprobar todas las Mac en el entorno para su versión específica de OpenSSL , pero ya tengo la información de la versión Mac OS X para las máquinas afectadas.

  • No se puede verificar el certificate SSL de Google con openssl
  • Instalación de Ruby 2.0.0 a través de RVM: errores que rodean a openssl
  • ¿La installation de macports automáticamente instalará o actualizará OpenSSL?
  • Dónde encontrar el package de desarrollo OpenSSL: parece que no puede encontrarlo en Brew
  • Usando MAMP 3.4, ¿cómo me actualizo a Apache 2.4 y OpenSSL 1.0.2 para cumplir con los requisitos de ATS iOS 9?
  • Reducción del nivel de rigurosidad de HTTPS de Safari para desarrolladores web y hosts http locales
  • ¿Dónde está Ruby buscando SSL_CERT_FILE?
  • ¿Cómo puedo determinar qué encryptions TLS se utilizan en OSX, Outlook 2011?
  • 3 Solutions collect form web for “¿Qué versiones de OS X se ven afectadas por Heartbleed?”

    Ninguna versión de OS X se ve afectada (ni iOS se ve afectado). Solo la installation de una aplicación o modificación de un tercero daría lugar a un progtwig Mac o OS X con esa vulnerabilidad / error en OpenSSL versión 1.0.x


    Apple desaprobó OpenSSL en OS X en diciembre de 2012 si no antes. Ninguna versión de OpenSSL que sea vulnerable a CVE-2014-0160 (también conocido como el error Heartbleed )

    Apple proporciona varias interfaces de aplicaciones alternativas que proporcionan SSL a los desarrolladores de Mac y tiene esto que decir sobre OpenSSL:

    OpenSSL no proporciona una API estable de una versión a otra. Por esta razón, aunque OS X proporciona bibliotecas OpenSSL, las bibliotecas OpenSSL en OS X están en desuso, y OpenSSL nunca se ha proporcionado como parte de iOS. Se desaconseja enérgicamente el uso de las bibliotecas OS X OpenSSL por aplicaciones.

    Específicamente, la última versión de OpenSSL enviada por Apple es OpenSSL 0.9.8y 5 de febrero de 2013, que no parece tener el error de las versiones más nuevas de OpenSSL con el código de la versión de la biblioteca de Apple.

    El PDF de esta documentation tiene algunos consejos claramente escritos para desarrolladores y algunas secciones que son útiles para los profesionales o para el usuario con mentalidad de security.

    • Desarrolladores de OpenSSL para Mac y versión en PDF de la Guía de services criptocharts de Apple

    Teniendo esto en count, el único problema restante sería un software adicional creado contra OpenSSL, por ejemplo, varios en Homebrew ( brew update seguida de brew upgrade ) o MacPorts ( port self update del port upgrade openssl seguido de la port upgrade openssl ) para actualizar a la versión parche 1.x de openSSL.

    Además, podría usar mdfind / mdls para verificar los files llamados openssl en caso de que tenga otras aplicaciones que agrupen esa biblioteca como Apple recomienda en lugar de depender de la versión "segura" que Apple todavía envía con OS X.

     for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done 

    He ejecutado la openssl version en todas las Mac en las que pude tener acceso 1 y todas muestran:

     OpenSSL 0.9.8y 5 Feb 2013 

    … incluida la última versión actual: OS X 10.9.2.

    Por lo tanto, puedo concluir que ninguna versión de OS X se ve afectada por Heartbleed.

    1 y también algunos que no pude y solo tuve SSH, aún así probado, ¡las máquinas de producción son importantes! En general, probé alnetworkingedor de 30 máquinas con varias versiones de OS X.

    Si bien OS X no incluye las versiones afectadas de OpenSSL, se recomienda encarecidamente hacer una openssl version en caso de que se haya instalado uno como parte de un package de terceros.

    Por ejemplo, mi computadora informó OpenSSL 1.0.1f 6 Jan 2014 porque se había incluido como una dependencia de algo que había instalado a través de MacPorts. sudo port upgrade outdated resuelto esto, por supuesto.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).