Heartbleed의 영향을받는 OS X의 버전은 무엇입니까?

영향을받는 OpenSSL 버전에는 어떤 OS X 버전이 기본으로 제공 됩니까?

현재 모든 인터넷 트래픽은 환경에서 Macintosh에주의를 기울이지 않고도 Heartbleed 버그와 관련하여 동일한 일반 정보로 막힙니다. Mac OS X 클라이언트뿐만 아니라 Mac OS X 서버에 대한 정보를 찾고 있습니다. 현재 환경의 모든 Mac에서 특정 버전의 OpenSSL 을 확인하는 것은 비현실적 이지만 이미 영향을받는 컴퓨터에 대한 Mac OS X 버전 정보가 있습니다.

OS X 버전은 영향을받지 않습니다 (iOS 영향도받지 않음). 타사 응용 프로그램 또는 수정 만 설치하면 OpenSSL 버전 1.0.x에서 Mac 또는 OS X 프로그램에 해당 취약점 / 버그가 발생합니다.

Apple은 2012 년 12 월 OS X에서 OpenSSL을 더 이상 사용하지 않습니다. CVE-2014-0160에 취약한 OpenSSL 버전이 없습니다 (일명 Heartbleed Bug )

Apple은 Mac 개발자에게 SSL을 제공하는 몇 가지 대체 응용 프로그램 인터페이스를 제공하며 OpenSSL에 대해 다음과 같이 말합니다.

OpenSSL은 버전마다 안정적인 API를 제공하지 않습니다. 이러한 이유로 OS X은 OpenSSL 라이브러리를 제공하지만 OS X의 OpenSSL 라이브러리는 더 이상 사용되지 않으며 OpenSSL은 iOS의 일부로 제공되지 않았습니다. 앱에서 OS X OpenSSL 라이브러리를 사용하지 않는 것이 좋습니다.

특히, Apple에서 제공 한 최신 버전의 OpenSSL 은 OpenSSL 0.9.8y 2013 년 2 월 5 일 이며 최신 버전의 OpenSSL에서 버그를 가지고 Apple 버전의 라이브러리 코드로 다시 포팅되지 않은 것으로 보입니다.

이 문서의 PDF에는 개발자를위한 명확하게 작성된 조언과 전문가 나 보안 사용자에게 유용한 섹션이 있습니다.

• Mac 용 OpenSSL 및 PDF 버전의 Apple 암호화 서비스 안내서

이를 고려하면, 남아있는 유일한 문제는 추가 브루 여러에는 OpenSSL에 내장 된 소프트웨어, 예를 들어 (것 brew update다음 brew upgrade) 또는 (MacPorts를 port self update다음 port upgrade openssl의 OpenSSL 패치 1.x에서 버전으로 업데이트).

또한 애플이 OS X와 ​​함께 제공하는 "안전한"버전에 의존하기보다는 애플이 권장하는대로 해당 라이브러리를 번들로 제공하는 다른 응용 프로그램이있는 경우 mdfind / mdls를 사용하여 openssl이라는 파일을 확인할 수 있습니다.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

나는 ^1로openssl version 손을 잡을 수있는 모든 Mac에서 실행 했으며 모두 보여줍니다.

OpenSSL 0.9.8y 5 Feb 2013

… 현재 최신 버전 포함 : OS X 10.9.2.

따라서 Heartbleed의 영향 을 받는 OS X 버전 이 없다고 결론을 내릴 수 있습니다 .

^{1 그리고 SSH를 할 수 없었던 제품들 – 여전히 테스트되었지만 프로덕션 머신은 중요합니다! 전체적으로 다양한 버전의 OS X로 약 30 대의 컴퓨터를 테스트했습니다.}

OS X은 영향을받는 OpenSSL 릴리스와 함께 제공되지 않지만 openssl version일부 타사 패키지의 일부로 설치되었을 수 있습니다.

예를 들어, 내 컴퓨터는 OpenSSL 1.0.1f 6 Jan 2014MacPorts를 통해 설치 한 것에 대한 종속성으로 포함되어 있다고보고 했습니다. sudo port upgrade outdated물론 이것을 해결했습니다.