Quelles versions d’OS X sont affectées par Heartbleed?

MDMoore313

Quelles versions d’OS X sont affectées par Heartbleed?


Quelles versions d’OS X sont livrées par défaut avec les versions concernées d’ OpenSSL ?

Tout le trafic Internet est actuellement obstrué avec les mêmes informations génériques en ce qui concerne le bogue Heartbleed, sans aucune attention accordée à Macintosh dans l’environnement. Je recherche des informations sur le client Mac OS X ainsi que sur le serveur Mac OS X. Pour l’instant, il n’est pas pratique pour moi de vérifier tous les Mac dans l’environnement pour leur version spécifique d’ OpenSSL , mais j’ai déjà les informations de version Mac OS X pour les machines concernées.

marque

Cela concerne davantage les serveurs Web que les clients qui s’y connectaient. Vos informations peuvent être compromises même si votre machine n’a pas la version Heartbleed d’OpenSSL.

MDMoore313

@Mark true, mais que se passe-t-il lorsque quelqu’un veut exécuter une application qui transforme sa machine en serveur Web et utilise la version intégrée d’OpenSSL? Les applications Mac ne sont peut-être pas tellement, mais c’est pourquoi j’ai également posé des questions sur le serveur OS X. Les mobiles seront probablement plus affectés, même si de nombreuses applications mobiles tentent d’implémenter cette fonctionnalité.

gnasher729

Cependant, toute la question passe largement à côté du fait que ce ne sont pas les machines clientes qui sont en danger, mais les serveurs. Si vous accédez à un serveur qui a été compromis, peu importe que vous exécutiez MacOS X ou Windows 95, vous accédez à un serveur qui pourrait divulguer des informations sur le serveur. Cela n’a d’intérêt que si vous utilisez votre propre Mac comme serveur.

Michael Hampton

Pas vrai. L’exploit peut être utilisé par des serveurs malveillants contre des clients qui utilisent OpenSSL pour établir la connexion.

bmike ♦

@ gnasher729 Il n’y a aucune raison pour laquelle vous ne pouvez pas poser une question différente sur le point qui vous semble manquer. Cette Q&R est étroite et se concentre sur les versions d’OS X dont le contenu de la mémoire peut être exposé au réseau par un bogue de programmation. Il ne s’agit pas d’une évaluation générale des risques pour tout utilisateur de Mac ou même d’une image plus grande.

Réponses


 bmike

Aucune version d’OS X n’est affectée (ni iOS n’est affecté). Seule l’installation d’une application tierce ou une modification entraînerait la vulnérabilité / bogue d’un programme Mac ou OS X dans OpenSSL version 1.0.x


Apple a déconseillé OpenSSL sur OS X en décembre 2012, si ce n’est plus tôt. Aucune version d’OpenSSL vulnérable à CVE-2014-0160 (alias le bug Heartbleed )

Apple fournit plusieurs interfaces d’application alternatives qui fournissent SSL aux développeurs Mac et a ceci à dire sur OpenSSL:

OpenSSL ne fournit pas d’API stable d’une version à l’autre. Pour cette raison, bien que OS X fournisse des bibliothèques OpenSSL, les bibliothèques OpenSSL dans OS X sont obsolètes et OpenSSL n’a jamais été fourni dans le cadre d’iOS. L’utilisation des bibliothèques OS X OpenSSL par les applications est fortement déconseillée.

Plus précisément, la dernière version d’OpenSSL livrée par Apple est OpenSSL 0.9.8y 5 février 2013 qui ne semble pas avoir le bogue des versions plus récentes d’OpenSSL porté sur le code de la version Apple de la bibliothèque.

Le PDF de cette documentation contient des conseils clairement écrits pour les développeurs et certaines sections utiles aux professionnels ou aux utilisateurs soucieux de la sécurité.

Compte tenu de cela, le seul problème restant serait les logiciels supplémentaires construits contre OpenSSL, par exemple plusieurs dans Homebrew ( brew update suivie d’une brew upgrade ) ou MacPorts ( port self update suivie de la port upgrade openssl ) pour effectuer la mise à jour vers la version 1.x corrigée de openSSL.

En outre, vous pouvez utiliser mdfind / mdls pour vérifier les fichiers nommés openssl au cas où vous auriez d’autres applications qui regroupent cette bibliothèque comme Apple le recommande plutôt que de dépendre de la version « sûre » qu’Apple fournit toujours avec OS X.

 for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done 
CoreDumpError

Pour ceux qui utilisent MacPorts, ils ont également publié un OpenSSL mis à jour. L’exécution de la port upgrade openssl port selfupdate suivie de la port upgrade openssl vous donnera la version 1.0.1g fixe.

bmike ♦

@CoreDumpError Merci pour cela – j’ai intégré vos commandes dans la réponse pour que les gens la voient clairement juste à côté de la « recette » homebrew.

alastair

Il convient également de noter que le logiciel client d’Apple utilise Secure Transport, le propre code d’Apple, pas OpenSSL; il en va de même pour tout logiciel utilisant les API Cocoa ou Core Foundation pour communiquer sur le Net.

Roberto

Curiosité: savez-vous pourquoi Apple a cessé d’utiliser OpenSSL?

Elliot

FWIW – un bogue sans rapport a été trouvé dans le code SSL d’Apple il y a moins de 2 mois: nakedsecurity.sophos.com/2014/02/24/…


 grg

J’ai exécuté la openssl version sur tous les Mac que je pourrais mettre la main sur 1 et tous montrent:

 OpenSSL 0.9.8y 5 Feb 2013 

… Y compris la dernière version actuelle: OS X 10.9.2.

Par conséquent, je peux conclure qu’aucune version d’OS X n’est affectée par Heartbleed.

1 et aussi ceux que je ne pouvais pas et juste eu SSH – toujours testé cependant, les machines de production sont importantes! Dans l’ensemble, j’ai testé environ 30 machines avec différentes versions d’OS X.

dwightk

> Une vérification des limites manquantes dans la gestion de l’extension de pulsation TLS peut être utilisée pour révéler jusqu’à 64 Ko de mémoire à un client ou un serveur connecté. > ** Seules les versions 1.0.1 et 1.0.2-beta d’OpenSSL sont affectées, y compris 1.0.1f et 1.0.2-beta1. ** via openssl.org , (non souligné dans l’original). Donc, comme l’a dit grgarside …

MDMoore313

@dwightk La question était de savoir quelles versions d’ OS X ont l’une des versions d’OpenSSL effectuées. Les versions d’OpenSSL qui sont effectuées sont bien connues, merci cependant.


 Daniel Perván

Bien que OS X ne soit pas fourni avec les versions concernées d’OpenSSL, il est toujours fortement encouragé de faire une openssl version au cas où une pourrait avoir été installée dans le cadre d’un paquet tiers.

Par exemple, mon ordinateur a signalé OpenSSL 1.0.1f 6 Jan 2014 car il avait été inclus comme dépendance pour quelque chose que j’avais installé via MacPorts. sudo port upgrade outdated résolu cela, bien sûr.

Mordred

Je montrais 1.0.1e. Merci pour le conseil.

Peter Mortensen

OS X c’est (pas OSX).

Daniel Perván

@Peter Mortensen: corrigé 🙂

drfrogsplat

Et, si vous avez 1.x, alors idéalement, vous verrez OpenSSL 1.0.1g 7 Apr 2014 pour la version sécurisée / corrigée.

 

affectées, dos, Heartbleed, par, Quelles, sont, versions, X

 

wiki

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *