최신 OS X 업데이트 ( 10.10.5 )에서 Apple은 OpenSSL 0.9.8을 도입했습니다 . 나는 통해 찾아 공식은 OpenSSL 페이지 , 거기 나는 버전 1.0.2 얻을 수 있습니다 .
제 질문은 : 왜 Apple이 이전 버전의 OpenSSL을 사용하고 있습니까? 버전 1.0에서 더 이상 사용되지 않는 기능 때문입니까? 또는 그 이유는 무엇입니까?
출처 : Apple 보안 페이지
최신 OS X 업데이트 ( 10.10.5 )에서 Apple은 OpenSSL 0.9.8을 도입했습니다 . 나는 통해 찾아 공식은 OpenSSL 페이지 , 거기 나는 버전 1.0.2 얻을 수 있습니다 .
제 질문은 : 왜 Apple이 이전 버전의 OpenSSL을 사용하고 있습니까? 버전 1.0에서 더 이상 사용되지 않는 기능 때문입니까? 또는 그 이유는 무엇입니까?
출처 : Apple 보안 페이지
답변:
Apple이 취약한 버전의 OpenSSL을 사용하는 이유는 무엇입니까?
그렇지 않습니다.
질문에 게시 한 링크를 클릭하면이 업데이트가 OpenSSL 0.9.8, 1.0.0, 1.0.1 및 1.0.2에서 동일하게 존재하는 여러 가지 취약점을 패치 함을 알 수 있습니다.
즉, 나중에 대안으로 제안하는 버전 1.0.2는 0.9.8과 마찬가지로 취약하며 동시에 수정되었습니다.
최신 OS X 업데이트 ( 10.10.5 )에서 Apple은 OpenSSL 0.9.8을 도입했습니다 . 나는 통해 찾아 공식은 OpenSSL 페이지 , 거기 나는 버전 1.0.2 얻을 수 있습니다 .
Apple은 OpenSSL을 0.9.8zg로 업데이트했는데, 이는 2 개월이 지나고 1.0.2d보다 4 주 더 오래된 것입니다.
제 질문은 : 왜 Apple이 이전 버전의 OpenSSL을 사용하고 있습니까? 버전 1.0에서 더 이상 사용되지 않는 기능 때문입니까? 또는 그 이유는 무엇입니까?
Apple에 문의해야 할 사항입니다. 가장 좋은 추측은 0.9.8이 호환성 테스트를 수행 한 버전이며 최신 버전으로 업그레이드하려면 더 이상 사용되지 않는 구성 요소에 대해 완전히 새로운 테스트가 필요하다는 것입니다. 더 이상 사용되지 않으므로 최신 소프트웨어 (새로운 기능에 의존 할 수 있음)는이 소프트웨어를 사용하지 않아야하며, 여전히 사용하는 이전 소프트웨어는 새 기능을 사용하지 않으며 (존재하지 않았기 때문에) 심지어 손상 될 수도 있습니다. 업데이 트에 의해 왜 귀찮게?
OpenSSL 커뮤니티가 여전히 0.9.8 지점을 유지하는 한 Apple은 백 포트 패치 작업을 수행하지 않아도됩니다.
이것은 드문 일이 아닙니다. 애플은 구 버전의 루비를 아주 오랫동안 배송했으며, 일반적으로 릴리스주기 동안 만 릴리스간에 업데이트하지 않습니다. Linux 배포판뿐만 아니라 BSD 및 기타 Unix 배포판도 일반적으로 릴리스 중에 버전을 업데이트하지 않으며 버그 수정 및 보안 수정 만 적용합니다. 특히 데비안은 일반적으로 모든 버그, 보안 취약성 및 버그만 수정하여 사용자 데이터가 손실 될 수 있습니다. 변경 사항, 버그 수정조차도 잠재적 비 호환성 및 새로운 버그 가능성이 있습니다. 알려진 버그는 알려지지 않은 버그보다 낫습니다!
OpenSSL은 공식적으로 사용되지 않습니다. Apple의 대안으로 마이그레이션하지 않거나 소프트웨어와 내부적으로 SSL을 번들로 제공하지 않는 소프트웨어를 중단하지 않는 것은 (Apple이 앞으로 허용하는 시간 동안) 존재합니다.
지원 중단 발표에 대해서는 Apple 개발자 링크를 참조하십시오. (다른 링크는 무엇 에 대한 이유 를 더 쉽게 읽고 / 더 합성 할 수 있습니다. )