Por que a Apple está usando uma versão mais antiga do OpenSSL?


Respostas:


20

Por que a Apple está usando uma versão vulnerável do OpenSSL?

Não é.

Se você clicar no link publicado em sua pergunta, verá que esta atualização corrige várias vulnerabilidades que existem de forma idêntica no OpenSSL 0.9.8, 1.0.0, 1.0.1 e 1.0.2.

Portanto, em outras palavras, a versão que você sugere mais tarde como alternativa, a 1.0.2, era tão vulnerável quanto a 0.9.8 e ambas foram corrigidas ao mesmo tempo.

Com a mais recente atualização do OS X ( 10.10.5 ), a Apple está apresentando o OpenSSL 0.9.8 . Eu naveguei pela página oficial do OpenSSL e consegui a versão 1.0.2 .

A Apple está atualizando o OpenSSL para 0.9.8zg, com apenas 2 meses de idade e apenas 4 semanas com a versão 1.0.2d.

Minha pergunta é: Por que a Apple está usando uma versão mais antiga do OpenSSL? É por causa de funções descontinuadas na versão 1.0 ou qual é o motivo por trás disso?

Isso é algo que você terá que perguntar à Apple. Meu melhor palpite é que 0.9.8 é a versão com a qual eles fizeram seus testes de compatibilidade, e a atualização para uma versão mais nova exigiria uma rodada de testes completamente nova para um componente que foi descontinuado de qualquer maneira. Como está obsoleto, o software mais recente (que possivelmente dependeria de recursos mais recentes) não deve usá-lo de qualquer maneira, e o software mais antigo que ainda o usa não usa os novos recursos (porque eles não existiam) e pode até estar quebrado por uma atualização, então por que se preocupar?

Enquanto a comunidade OpenSSL ainda mantiver a ramificação 0.9.8, a Apple nem precisará fazer o trabalho de backport de patches.

Observe que isso não é nada incomum. A Apple enviou uma versão antiga do Ruby por um longo período de tempo, e elas geralmente não são atualizadas durante um ciclo de lançamento, apenas entre os lançamentos. Distribuições Linux, bem como BSDs e outras distribuições Unix, também não atualizam versões durante o lançamento, elas aplicam apenas correções de bugs e correções de segurança. O Debian, em particular, geralmente nem corrige todos os bugs, apenas vulnerabilidades e bugs de segurança que podem resultar na perda de dados do usuário - qualquer alteração, até mesmo uma correção de bugs é uma incompatibilidade em potencial e um potencial para novos bugs; bugs conhecidos são melhores que os desconhecidos!


3
Se você sabe disso, diga e conte-nos como você sabe. Caso contrário, tudo o que você está fazendo é adivinhar.
9788 Steve Chambers

O próprio OP vinculou a um documento que afirma claramente que várias vulnerabilidades (todas as mais recentes conhecidas no OpenSSL) foram corrigidas nessa atualização. Deixe-me reformular minha resposta.
Jörg W Mittag

11
Muito bem - obrigado por detalhar os números e explicar que vários ramos estão sendo movidos para frente e corrigidos. +1 na verdade
bmike

Observe que, de acordo com sua estratégia de lançamento atual , o ramo OpenSSL 0.9.8 será suportado até o final de 2015, junto com o ramo 1.0.0. O 0.9.8 era uma "versão principal" do antigo esquema de versão e é mantido desde 2005, sendo a última revisão secundária "zg", a 33ª versão dessa ramificação, de acordo com este blog .
IMSoP 17/08/2015

17

O OpenSSL foi descontinuado oficialmente. Existe (por pouco tempo que a Apple permite seguir em frente) para não interromper o software que não migra para a alternativa da Apple nem empacota o SSL internamente com o aplicativo.

Veja o link do desenvolvedor da Apple para o anúncio de descontinuação: (os outros links são de leitura mais fácil / mais síntese do porquê do que )

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.