На какие версии OS X влияет Heartbleed?

55

Какие версии OS X поставляются по умолчанию с уязвимыми версиями OpenSSL ?

Весь интернет-трафик сейчас забит той же общей информацией об ошибке Heartbleed, без какого-либо внимания к Macintosh в среде. Я ищу информацию о клиенте Mac OS X, а также о сервере Mac OS X. Сейчас для меня непрактично проверять все Mac в среде на предмет их конкретной версии OpenSSL , но у меня уже есть информация о версии Mac OS X для затронутых машин.

MDMoore313
источник
Это больше касается веб-серверов, чем клиентов, которые к ним подключались. Ваша информация может быть скомпрометирована, даже если на вашем компьютере не установлена ​​версия OpenSSL с поддержкой Heartbleed.
Ɱark Ƭ
1
@ Правда, но что происходит, когда кто-то хочет запустить приложение, которое превращает его компьютер в веб-сервер, и использует встроенную версию OpenSSL? Приложения для Mac, возможно, не так много, но именно поэтому я спросил и о OS X server. Мобильные устройства, вероятно, будут более эффективными, хотя многие мобильные приложения пытаются реализовать эту функцию.
MDMoore313
Однако весь вопрос в значительной степени упускает из виду тот факт, что в опасности находятся не клиентские машины, а серверы. Если вы обращаетесь к скомпрометированному серверу, то не имеет значения, используете ли вы MacOS X или Windows 95, вы обращаетесь к серверу, который может утекать любую информацию о вас, имеющуюся на сервере. Это интересно, только если вы используете свой собственный Mac в качестве сервера.
gnasher729
2
Не правда. Подвиг может быть использовано на злонамеренных серверах от клиентов, использующих OpenSSL , чтобы сделать соединение.
Майкл Хэмптон
3
@ gnasher729 Нет причины, по которой вы не можете задать другой вопрос о том, чего, по вашему мнению, не хватает. Это вопросы и ответы, узкие и сфокусированные на том, какие версии OS X могут иметь содержимое памяти, доступное для сети из-за ошибки программирования Он не предназначен для общей оценки риска для любого пользователя Mac или даже для более широкой картины.
bmike

Ответы:

63

Никакие версии OS X не затронуты (ни iOS не затронуты). Только установка стороннего приложения или модификации может привести к тому, что программа Mac или OS X будет иметь эту уязвимость / ошибку в OpenSSL версии 1.0.x


Apple отказалась от OpenSSL на OS X в декабре 2012 года, если не раньше. Нет версии OpenSSL, которая была бы уязвима для CVE-2014-0160 (он же « Ошибка Heartbleed» )

Apple предоставляет несколько альтернативных интерфейсов приложений, которые предоставляют SSL разработчикам Mac, и говорит об OpenSSL:

OpenSSL не предоставляет стабильный API от версии к версии. По этой причине, хотя OS X предоставляет библиотеки OpenSSL, библиотеки OpenSSL в OS X устарели, и OpenSSL никогда не предоставлялся как часть iOS. Использование библиотек OS X OpenSSL приложениями настоятельно не рекомендуется.

В частности, последняя версия OpenSSL, поставляемая Apple, - это OpenSSL 0.9.8y, 5 февраля 2013 г., которая, похоже, не содержит ошибки из более новых версий OpenSSL, перенесенной в код для версии библиотеки Apple.

PDF этой документации содержит несколько четко написанных советов для разработчиков и некоторые разделы, которые полезны как для профессионалов, так и для пользователей, ориентированных на безопасность.

Учитывая это, единственной оставшейся проблемой будет дополнительное программное обеспечение, созданное для OpenSSL, например, несколько программ для Homebrew ( brew updateзатем brew upgrade) или MacPorts ( port self updateпосле port upgrade openssl) для обновления до исправленной версии openx 1.x.

Кроме того, вы можете использовать mdfind / mdls для проверки файлов с именем openssl на тот случай, если у вас есть другие приложения, которые объединяют эту библиотеку в соответствии с рекомендациями Apple, а не в зависимости от «безопасной» версии, которую Apple все еще поставляет с OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
источник
8
Для тех, кто использует MacPorts, они также выпустили обновленный OpenSSL. Бег с port selfupdateпоследующим port upgrade opensslполучит вам исправленную версию 1.0.1g.
coredumperror
1
@CoreDumpError Спасибо за это - я вставил ваши команды в ответ, чтобы люди ясно видели его прямо рядом с «рецептом» доморощенного.
bmike
Стоит также отметить, что клиентское программное обеспечение Apple использует Secure Transport, собственный код Apple, а не OpenSSL; То же самое касается любого программного обеспечения, использующего API-интерфейсы Cocoa или Core Foundation для связи через Интернет.
alastair
Любопытство: знаете ли вы, почему Apple перестала использовать OpenSSL?
Роберто
FWIW - несвязанная ошибка была обнаружена в коде SSL Apple менее чем 2 месяца назад: nakedsecurity.sophos.com/2014/02/24/…
Elliot,
16

Я работал openssl versionна каждом Mac, я мог получить в свои руки 1, и все они показывают:

OpenSSL 0.9.8y 5 Feb 2013

… Включая текущую последнюю версию: OS X 10.9.2.

Поэтому я могу сделать вывод, что Heartbleed не затрагивает ни одну версию OS X.

1, а также те, которые я не мог и только что имел SSH - все еще проверенный, хотя машины производства важны! Всего я протестировал около 30 машин с различными версиями OS X.

Grg
источник
> Проверка пропущенных границ в обработке расширения пульса TLS может использоваться для обнаружения до 64 КБ памяти подключенному клиенту или серверу. > ** Это касается только 1.0.1 и 1.0.2-бета-версий OpenSSL, включая 1.0.1f и 1.0.2-бета1. ** через openssl.org (выделение добавлено). Так как grgarside сказал ...
Дуайтк
@dwightk Вопрос был о том, какие версии OS X имеют одну из версий OpenSSL. Выпущенные версии OpenSSL хорошо известны, хотя, спасибо.
MDMoore313
10

Хотя OS X не поставляется с уязвимыми выпусками OpenSSL, все же настоятельно рекомендуется сделать это openssl versionна тот случай, если он был установлен как часть какого-либо стороннего пакета.

Например, мой компьютер сообщил, OpenSSL 1.0.1f 6 Jan 2014что он был включен в качестве зависимости для чего-то, что я установил через MacPorts. sudo port upgrade outdatedрешил это, конечно.

Даниэль Перван
источник
3
OS X это (не OSX).
Питер Мортенсен
@ Питер Мортенсен: исправлено :)
Даниэль Перван,
И, если у вас есть 1.x, то в идеале вы увидите OpenSSL 1.0.1g 7 Apr 2014безопасную / исправленную версию.
drfrogsplat