Quais versões do OS X são afetadas pelo Heartbleed?

Quais versões do OS X são padrão nas versões afetadas do OpenSSL ?

Todo o tráfego da Internet no momento está entupido com as mesmas informações genéricas em relação ao bug Heartbleed, sem nenhuma atenção ao Macintosh no ambiente. Estou procurando informações no cliente Mac OS X e no servidor Mac OS X. No momento, é impraticável verificar todos os Macs no ambiente quanto à sua versão específica do OpenSSL , mas eu já tenho as informações da versão do Mac OS X para as máquinas afetadas.

Nenhuma versão do OS X é afetada (nem o iOS). Somente a instalação de um aplicativo ou modificação de terceiros resultaria em um programa Mac ou OS X com essa vulnerabilidade / bug no OpenSSL versão 1.0.x

A Apple descontinuou o OpenSSL no OS X em dezembro de 2012, se não antes. Nenhuma versão do OpenSSL vulnerável ao CVE-2014-0160 (também conhecida como Heartbleed Bug )

A Apple fornece várias interfaces de aplicativos alternativas que fornecem SSL para desenvolvedores de Mac e têm isso a dizer sobre o OpenSSL:

O OpenSSL não fornece uma API estável de versão para versão. Por esse motivo, embora o OS X forneça bibliotecas OpenSSL, as bibliotecas OpenSSL no OS X estão obsoletas e o OpenSSL nunca foi fornecido como parte do iOS. O uso das bibliotecas OS X OpenSSL por aplicativos é altamente desencorajado.

Especificamente, a versão mais recente do OpenSSL enviada pela Apple é o OpenSSL 0.9.8y de 5 de fevereiro de 2013, que parece não ter o bug das versões mais recentes do OpenSSL portadas de volta para o código da versão da biblioteca da Apple.

O PDF desta documentação possui alguns conselhos claramente escritos para desenvolvedores e algumas seções úteis para profissionais ou usuários preocupados com a segurança.

• OpenSSL para Mac Developers e versão PDF do Guia de Serviços Criptográficos da Apple

Considerando isso, o único problema restante seria o software adicional criado contra o OpenSSL, por exemplo, vários no Homebrew ( brew updateseguido de brew upgrade) ou MacPorts ( port self updateseguido de port upgrade openssl) para atualizar para a versão 1.x do openSSL corrigida.

Além disso, você pode usar o mdfind / mdls para verificar os arquivos denominados openssl, caso tenha outros aplicativos que agrupam essa biblioteca, conforme recomendado pela Apple, em vez de depender da versão "segura" que a Apple ainda acompanha o OS X.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

Já corri openssl versionem todos os Mac que consegui colocar em mãos ¹ e todos eles mostram:

OpenSSL 0.9.8y 5 Feb 2013

… Incluindo a versão mais recente atual: OS X 10.9.2.

Portanto, posso concluir que nenhuma versão do OS X é afetada pelo Heartbleed.

^{1 e também os que eu não podia e tinha apenas SSH - ainda testados, as máquinas de produção são importantes! No geral, testei cerca de 30 máquinas com várias versões do OS X.}

Embora o OS X não seja fornecido com as versões afetadas do OpenSSL, ainda é altamente recomendável que o faça openssl version, caso uma tenha sido instalada como parte de algum pacote de terceiros.

Por exemplo, meu computador relatou OpenSSL 1.0.1f 6 Jan 2014porque havia sido incluído como uma dependência de algo que eu havia instalado através do MacPorts. sudo port upgrade outdatedresolveu isso, é claro.