Welche Versionen von OS X sind von Heartbleed betroffen?

55

Welche Versionen von OS X sind standardmäßig in den betroffenen OpenSSL- Versionen enthalten ?

Derzeit ist der gesamte Internetverkehr mit denselben allgemeinen Informationen in Bezug auf den Heartbleed-Fehler verstopft, ohne dass Macintosh in der Umgebung beachtet wird. Ich suche Informationen zum Mac OS X-Client sowie zum Mac OS X-Server. Momentan ist es für mich unpraktisch, alle Macs in der Umgebung auf ihre spezifische Version von OpenSSL zu überprüfen , aber ich habe bereits die Mac OS X-Versionsinformationen für die betroffenen Computer.

MDMoore313
quelle
Dies ist eher ein Problem für Webserver als für Clients, mit denen eine Verbindung hergestellt wird. Ihre Daten können kompromittiert werden, selbst wenn Ihr Computer nicht über die Heartbleed-Version von OpenSSL verfügt.
Ɱark Ƭ
1
@Mark true, aber was passiert, wenn jemand eine App ausführen möchte, die seinen Computer in einen Webserver verwandelt und die integrierte Version von OpenSSL verwendet? Mac-Apps vielleicht nicht so sehr, aber deshalb habe ich auch nach OS X-Servern gefragt. Mobiltelefone sind wahrscheinlich stärker betroffen, obwohl viele mobile Apps versuchen, diese Funktionalität zu implementieren.
MDMoore313
Die ganze Frage geht jedoch weitestgehend daneben, dass nicht Client-Computer, sondern Server in Gefahr sind. Wenn Sie auf einen Server zugreifen, der kompromittiert wurde, spielt es keine Rolle, ob Sie MacOS X oder Windows 95 ausführen. Sie greifen auf einen Server zu, auf dem möglicherweise Informationen verloren gehen, die der Server über Sie hat. Dies ist nur dann von Interesse, wenn Sie Ihren eigenen Mac als Server verwenden.
gnasher729
2
Nicht wahr. Der Exploit kann von böswilligen Servern gegen Clients verwendet werden, die OpenSSL zum Herstellen der Verbindung verwenden.
Michael Hampton
3
@ gnasher729 Es gibt keinen Grund, warum Sie keine andere Frage zu dem Punkt stellen können, den Sie für vermisst halten. Diese Fragen und Antworten beschränken sich auf die Frage, bei welchen Versionen von OS X der Speicherinhalt durch einen Programmierfehler dem Netzwerk zugänglich gemacht werden kann. Es ist nicht als allgemeine Risikobewertung für Mac-Benutzer oder auch nur für ein größeres Bild gedacht.
bmike

Antworten:

63

Es sind keine Versionen von OS X betroffen (auch nicht iOS). Wenn Sie nur eine App oder Modifikation eines Drittanbieters installieren, weist ein Mac- oder OS X-Programm diese Sicherheitsanfälligkeit / diesen Fehler in OpenSSL Version 1.0.x auf


Apple hat OpenSSL unter OS X im Dezember 2012 abgelehnt, wenn nicht früher. Keine Version von OpenSSL, die für CVE-2014-0160 (auch bekannt als Heartbleed Bug ) anfällig ist

Apple bietet verschiedene alternative Anwendungsoberflächen, die für Mac-Entwickler SSL bereitstellen. Dies gilt auch für OpenSSL:

OpenSSL bietet keine stabile API von Version zu Version. Obwohl OS X OpenSSL-Bibliotheken bereitstellt, sind die OpenSSL-Bibliotheken in OS X aus diesem Grund veraltet und OpenSSL wurde nie als Teil von iOS bereitgestellt. Von der Verwendung der OS X OpenSSL-Bibliotheken durch Apps wird dringend abgeraten.

Insbesondere ist die neueste Version von OpenSSL, die von Apple ausgeliefert wird, OpenSSL 0.9.8y 5. Februar 2013, bei der der Fehler aus neueren Versionen von OpenSSL nicht auf den Code für die Apple-Version der Bibliothek zurückportiert zu sein scheint.

Das PDF dieser Dokumentation enthält einige klar formulierte Ratschläge für Entwickler und einige Abschnitte, die sowohl für Fachleute als auch für sicherheitsbewusste Benutzer nützlich sind.

In Anbetracht dessen wäre das einzige verbleibende Problem zusätzliche Software, die gegen OpenSSL erstellt wurde, z. B. mehrere in Homebrew ( brew updategefolgt von brew upgrade) oder MacPorts ( port self updategefolgt von port upgrade openssl), um auf die gepatchte 1.x-Version von openSSL zu aktualisieren.

Sie können auch mdfind / mdls verwenden, um nach Dateien mit dem Namen openssl zu suchen, falls Sie andere Anwendungen haben, die diese Bibliothek gemäß den Empfehlungen von Apple bündeln, anstatt abhängig von der "sicheren" Version, die Apple noch mit OS X liefert.

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
bmike
quelle
8
Für diejenigen, die MacPorts verwenden, haben sie auch eine aktualisierte OpenSSL veröffentlicht. Laufen , port selfupdategefolgt von port upgrade opensslfinden Sie die feste 1.0.1g Version.
Coredumperror
1
@CoreDumpError Danke dafür - ich habe deine Befehle in die Antwort eingebettet, damit die Leute sie direkt neben dem Homebrew "Rezept" deutlich sehen.
bmike
Es ist auch erwähnenswert, dass Apples Client-Software Secure Transport verwendet, Apples eigenen Code, nicht OpenSSL. Gleiches gilt für jede Software, die Cocoa oder Core Foundation APIs für die Kommunikation über das Internet verwendet.
Alastair
Neugier: Weißt du, warum Apple OpenSSL nicht mehr verwendet?
Roberto
FWIW - In Apples SSL-Code wurde vor weniger als 2 Monaten ein nicht verwandter Fehler gefunden: nakedsecurity.sophos.com/2014/02/24/…
Elliot,
16

Ich habe laufen openssl versionauf jedem Mac konnte ich meine Hände auf 1 und alle von ihnen zeigen:

OpenSSL 0.9.8y 5 Feb 2013

… Einschließlich der aktuellsten Version: OS X 10.9.2.

Daraus kann ich schließen, dass keine Version von OS X von Heartbleed betroffen ist .

1 und auch solche, die ich nicht konnte und die ich nur mit SSH hatte - obwohl sie noch getestet wurden, sind Produktionsmaschinen wichtig! Insgesamt habe ich rund 30 Maschinen mit verschiedenen Versionen von OS X getestet.

grg
quelle
> Eine Überprüfung der fehlenden Grenzen bei der Behandlung der TLS-Heartbeat-Erweiterung kann verwendet werden, um einem verbundenen Client oder Server bis zu 64 KB Arbeitsspeicher bereitzustellen. > ** Nur 1.0.1- und 1.0.2-Beta-Versionen von OpenSSL sind betroffen, einschließlich 1.0.1f und 1.0.2-Beta1. ** über openssl.org (Hervorhebung hinzugefügt). Also, wie Grgarside sagte ...
Dwightk
@dwightk Die Frage war, welche Versionen von OS X eine der betroffenen OpenSSL-Versionen haben. Die betroffenen Versionen von OpenSSL sind jedoch bekannt.
MDMoore313
10

Obwohl OS X nicht mit den betroffenen Versionen von OpenSSL ausgeliefert wird, wird dringend empfohlen, dies openssl versionfür den Fall zu tun, dass eines als Teil eines Pakets eines Drittanbieters installiert wurde.

Mein Computer hat beispielsweise gemeldet, OpenSSL 1.0.1f 6 Jan 2014dass er als Abhängigkeit für etwas enthalten war, das ich über MacPorts installiert hatte. sudo port upgrade outdatedlöste dies natürlich.

Daniel Perván
quelle
3
OS X ist es (nicht OSX).
Peter Mortensen
@ Peter Mortensen: Behoben :)
Daniel Perván
Und wenn Sie 1.x haben, dann sehen Sie im Idealfall OpenSSL 1.0.1g 7 Apr 2014die sichere / gepatchte Version.
Drfrogsplat