Quais versões do OS X são afetadas pelo Heartbleed?

55

Quais versões do OS X são padrão nas versões afetadas do OpenSSL ?

Todo o tráfego da Internet no momento está entupido com as mesmas informações genéricas em relação ao bug Heartbleed, sem nenhuma atenção ao Macintosh no ambiente. Estou procurando informações no cliente Mac OS X e no servidor Mac OS X. No momento, é impraticável verificar todos os Macs no ambiente quanto à sua versão específica do OpenSSL , mas eu já tenho as informações da versão do Mac OS X para as máquinas afetadas.

MDMoore313
fonte
Isso é mais uma preocupação para os servidores Web do que os clientes costumavam se conectar a eles. Suas informações podem ser comprometidas mesmo que sua máquina não possua a versão Heartbleed do OpenSSL.
você precisa saber é o seguinte
11
@ Mark verdadeiro, mas o que acontece quando alguém deseja executar um aplicativo que transforma sua máquina em um servidor da web e usa a versão interna do OpenSSL? Aplicativos para Mac talvez não tanto, mas é por isso que perguntei sobre o servidor OS X também. É provável que os celulares sejam mais afetados, embora muitos aplicativos móveis tentem implementar essa funcionalidade.
precisa saber é o seguinte
No entanto, toda a questão esquece o ponto de que não são as máquinas clientes que estão em perigo, mas os servidores. Se você estiver acessando um servidor que foi comprometido, não importa se você executa o MacOS X ou o Windows 95, está acessando um servidor que pode estar vazando qualquer informação que o servidor tenha sobre você. É interessante apenas se você estiver usando seu próprio Mac como servidor.
precisa saber é o seguinte
2
Não é verdade. A exploração pode ser usada por servidores mal-intencionados contra clientes que usam o OpenSSL para fazer a conexão.
Michael Hampton
3
@ gnasher729 Não há razão para você não poder fazer uma pergunta diferente sobre o ponto que sente que está faltando. Essas perguntas e respostas são limitadas e focadas em quais versões do OS X podem ter seu conteúdo de memória exposto à rede por um erro de programação. Não é para ser uma avaliação de risco geral para qualquer usuário de Mac ou mesmo para uma imagem maior.
bmike

Respostas:

63

Nenhuma versão do OS X é afetada (nem o iOS). Somente a instalação de um aplicativo ou modificação de terceiros resultaria em um programa Mac ou OS X com essa vulnerabilidade / bug no OpenSSL versão 1.0.x


A Apple descontinuou o OpenSSL no OS X em dezembro de 2012, se não antes. Nenhuma versão do OpenSSL vulnerável ao CVE-2014-0160 (também conhecida como Heartbleed Bug )

A Apple fornece várias interfaces de aplicativos alternativas que fornecem SSL para desenvolvedores de Mac e têm isso a dizer sobre o OpenSSL:

O OpenSSL não fornece uma API estável de versão para versão. Por esse motivo, embora o OS X forneça bibliotecas OpenSSL, as bibliotecas OpenSSL no OS X estão obsoletas e o OpenSSL nunca foi fornecido como parte do iOS. O uso das bibliotecas OS X OpenSSL por aplicativos é altamente desencorajado.

Especificamente, a versão mais recente do OpenSSL enviada pela Apple é o OpenSSL 0.9.8y de 5 de fevereiro de 2013, que parece não ter o bug das versões mais recentes do OpenSSL portadas de volta para o código da versão da biblioteca da Apple.

O PDF desta documentação possui alguns conselhos claramente escritos para desenvolvedores e algumas seções úteis para profissionais ou usuários preocupados com a segurança.

Considerando isso, o único problema restante seria o software adicional criado contra o OpenSSL, por exemplo, vários no Homebrew ( brew updateseguido de brew upgrade) ou MacPorts ( port self updateseguido de port upgrade openssl) para atualizar para a versão 1.x do openSSL corrigida.

Além disso, você pode usar o mdfind / mdls para verificar os arquivos denominados openssl, caso tenha outros aplicativos que agrupam essa biblioteca, conforme recomendado pela Apple, em vez de depender da versão "segura" que a Apple ainda acompanha o OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
fonte
8
Para quem usa o MacPorts, eles também lançaram um OpenSSL atualizado. A execução port selfupdateseguida por port upgrade opensslvocê obterá a versão 1.0.1g fixa.
Coredumperror
11
@CoreDumpError Obrigado por isso - eu incorporei seus comandos na resposta para que as pessoas o vissem claramente ao lado da "receita" caseira.
bmike
Também é importante notar que o software cliente da Apple usa o Secure Transport, o código da Apple, não o OpenSSL; o mesmo vale para qualquer software que usa as APIs Cocoa ou Core Foundation para se comunicar pela Internet.
precisa saber é o seguinte
Curiosidade: você sabe por que a Apple parou de usar o OpenSSL?
Roberto
FWIW - um bug relacionado foi encontrado no código SSL da Apple menos de 2 meses atrás: nakedsecurity.sophos.com/2014/02/24/...
Elliot
16

Já corri openssl versionem todos os Mac que consegui colocar em mãos 1 e todos eles mostram:

OpenSSL 0.9.8y 5 Feb 2013

… Incluindo a versão mais recente atual: OS X 10.9.2.

Portanto, posso concluir que nenhuma versão do OS X é afetada pelo Heartbleed.

1 e também os que eu não podia e tinha apenas SSH - ainda testados, as máquinas de produção são importantes! No geral, testei cerca de 30 máquinas com várias versões do OS X.

grg
fonte
> Uma verificação de limites ausentes no processamento da extensão de pulsação TLS pode ser usada para revelar até 64k de memória para um cliente ou servidor conectado. > ** Somente as versões 1.0.1 e 1.0.2-beta do OpenSSL são afetadas, incluindo 1.0.1f e 1.0.2-beta1. ** via openssl.org (ênfase adicionada). Então, como o Grgarside disse ...
dwightk
@dwightk A questão era sobre quais versões do OS X possuem uma das versões OpenSSL efetuadas. As versões do OpenSSL efetuadas são bem conhecidas, apesar de tudo.
precisa saber é o seguinte
10

Embora o OS X não seja fornecido com as versões afetadas do OpenSSL, ainda é altamente recomendável que o faça openssl version, caso uma tenha sido instalada como parte de algum pacote de terceiros.

Por exemplo, meu computador relatou OpenSSL 1.0.1f 6 Jan 2014porque havia sido incluído como uma dependência de algo que eu havia instalado através do MacPorts. sudo port upgrade outdatedresolveu isso, é claro.

Daniel Perván
fonte
3
OS X é (não OSX).
Peter Mortensen
@Peter Mortensen: Fixed :)
Daniel Perván
E, se você tiver o 1.x, o ideal é ver OpenSSL 1.0.1g 7 Apr 2014a versão segura / corrigida.
drfrogsplat