¿Qué versiones de OS X se ven afectadas por Heartbleed?

¿Qué versiones de OS X vienen por defecto con las versiones afectadas de OpenSSL ?

En este momento, todo el tráfico de Internet está obstruido con la misma información genérica con respecto al error Heartbleed, sin prestar atención a Macintosh en el entorno. Estoy buscando información sobre el cliente Mac OS X y el servidor Mac OS X. En este momento no es práctico para mí verificar todas las Mac en el entorno para su versión específica de OpenSSL , pero ya tengo la información de la versión de Mac OS X para las máquinas afectadas.

Ninguna versión de OS X se ve afectada (ni tampoco iOS). Solo instalar una aplicación o modificación de terceros daría como resultado que un programa Mac u OS X tenga esa vulnerabilidad / error en OpenSSL versión 1.0.x

Apple desaprobó OpenSSL en OS X en diciembre de 2012, si no antes. Ninguna versión de OpenSSL que sea vulnerable a CVE-2014-0160 (también conocido como Heartbleed Bug )

Apple ofrece varias interfaces de aplicaciones alternativas que proporcionan SSL a los desarrolladores de Mac y tiene esto que decir sobre OpenSSL:

OpenSSL no proporciona una API estable de versión a versión. Por esta razón, aunque OS X proporciona bibliotecas OpenSSL, las bibliotecas OpenSSL en OS X están en desuso, y OpenSSL nunca se ha proporcionado como parte de iOS. Se desaconseja el uso de las bibliotecas OS X OpenSSL por parte de las aplicaciones.

Específicamente, la última versión de OpenSSL enviada por Apple es OpenSSL 0.9.8y 5 de febrero de 2013, que no parece tener el error de las versiones más nuevas de OpenSSL portado de nuevo al código para la versión de Apple de la biblioteca.

El PDF de esta documentación tiene algunos consejos claramente escritos para desarrolladores y algunas secciones que también son útiles para profesionales o usuarios con mentalidad de seguridad.

• OpenSSL para desarrolladores de Mac y versión PDF de la Guía de servicios criptográficos de Apple

Teniendo esto en cuenta, el único problema restante sería el software adicional que se creó contra OpenSSL, por ejemplo, varios en Homebrew ( brew updateseguido de brew upgrade) o MacPorts ( port self updateseguido de port upgrade openssl) para actualizar a la versión parcheada 1.x de openSSL.

Además, puede usar mdfind / mdls para verificar los archivos llamados openssl en caso de que tenga otras aplicaciones que agrupen esa biblioteca como recomienda Apple, en lugar de depender de la versión "segura" que Apple todavía incluye con OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

He corrido openssl versionen cada Mac que pude tener en mis manos ¹ y todos muestran:

OpenSSL 0.9.8y 5 Feb 2013

... incluida la última versión actual: OS X 10.9.2.

Por lo tanto, puedo concluir que ninguna versión de OS X se ve afectada por Heartbleed.

^{1 y también los que no pude y solo tuve SSH, aunque todavía probé, ¡las máquinas de producción son importantes! En general, probé alrededor de 30 máquinas con varias versiones de OS X.}

Si bien OS X no se entrega con las versiones afectadas de OpenSSL, se recomienda encarecidamente que lo haga openssl versionen caso de que se haya instalado como parte de un paquete de terceros.

Por ejemplo, mi computadora informó OpenSSL 1.0.1f 6 Jan 2014porque se había incluido como una dependencia de algo que había instalado a través de MacPorts. sudo port upgrade outdatedresuelto esto, por supuesto.