Welche Versionen von OS X sind von Heartbleed betroffen?

Welche Versionen von OS X sind standardmäßig in den betroffenen OpenSSL- Versionen enthalten ?

Derzeit ist der gesamte Internetverkehr mit denselben allgemeinen Informationen in Bezug auf den Heartbleed-Fehler verstopft, ohne dass Macintosh in der Umgebung beachtet wird. Ich suche Informationen zum Mac OS X-Client sowie zum Mac OS X-Server. Momentan ist es für mich unpraktisch, alle Macs in der Umgebung auf ihre spezifische Version von OpenSSL zu überprüfen , aber ich habe bereits die Mac OS X-Versionsinformationen für die betroffenen Computer.

Es sind keine Versionen von OS X betroffen (auch nicht iOS). Wenn Sie nur eine App oder Modifikation eines Drittanbieters installieren, weist ein Mac- oder OS X-Programm diese Sicherheitsanfälligkeit / diesen Fehler in OpenSSL Version 1.0.x auf

Apple hat OpenSSL unter OS X im Dezember 2012 abgelehnt, wenn nicht früher. Keine Version von OpenSSL, die für CVE-2014-0160 (auch bekannt als Heartbleed Bug ) anfällig ist

Apple bietet verschiedene alternative Anwendungsoberflächen, die für Mac-Entwickler SSL bereitstellen. Dies gilt auch für OpenSSL:

OpenSSL bietet keine stabile API von Version zu Version. Obwohl OS X OpenSSL-Bibliotheken bereitstellt, sind die OpenSSL-Bibliotheken in OS X aus diesem Grund veraltet und OpenSSL wurde nie als Teil von iOS bereitgestellt. Von der Verwendung der OS X OpenSSL-Bibliotheken durch Apps wird dringend abgeraten.

Insbesondere ist die neueste Version von OpenSSL, die von Apple ausgeliefert wird, OpenSSL 0.9.8y 5. Februar 2013, bei der der Fehler aus neueren Versionen von OpenSSL nicht auf den Code für die Apple-Version der Bibliothek zurückportiert zu sein scheint.

Das PDF dieser Dokumentation enthält einige klar formulierte Ratschläge für Entwickler und einige Abschnitte, die sowohl für Fachleute als auch für sicherheitsbewusste Benutzer nützlich sind.

• OpenSSL für Mac-Entwickler und PDF-Version von Apples Cryptographic Services Guide

In Anbetracht dessen wäre das einzige verbleibende Problem zusätzliche Software, die gegen OpenSSL erstellt wurde, z. B. mehrere in Homebrew ( brew updategefolgt von brew upgrade) oder MacPorts ( port self updategefolgt von port upgrade openssl), um auf die gepatchte 1.x-Version von openSSL zu aktualisieren.

Sie können auch mdfind / mdls verwenden, um nach Dateien mit dem Namen openssl zu suchen, falls Sie andere Anwendungen haben, die diese Bibliothek gemäß den Empfehlungen von Apple bündeln, anstatt abhängig von der "sicheren" Version, die Apple noch mit OS X liefert.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Ich habe laufen openssl versionauf jedem Mac konnte ich meine Hände auf ¹ und alle von ihnen zeigen:

OpenSSL 0.9.8y 5 Feb 2013

… Einschließlich der aktuellsten Version: OS X 10.9.2.

Daraus kann ich schließen, dass keine Version von OS X von Heartbleed betroffen ist .

^{1 und auch solche, die ich nicht konnte und die ich nur mit SSH hatte - obwohl sie noch getestet wurden, sind Produktionsmaschinen wichtig! Insgesamt habe ich rund 30 Maschinen mit verschiedenen Versionen von OS X getestet.}

Obwohl OS X nicht mit den betroffenen Versionen von OpenSSL ausgeliefert wird, wird dringend empfohlen, dies openssl versionfür den Fall zu tun, dass eines als Teil eines Pakets eines Drittanbieters installiert wurde.

Mein Computer hat beispielsweise gemeldet, OpenSSL 1.0.1f 6 Jan 2014dass er als Abhängigkeit für etwas enthalten war, das ich über MacPorts installiert hatte. sudo port upgrade outdatedlöste dies natürlich.