¿Qué versiones de OS X se ven afectadas por Heartbleed?

¿Qué versiones de OS X vienen pnetworkingeterminadas con las versiones afectadas de OpenSSL ?

Todo el tráfico de Internet en este momento está obstruido con la misma información genérica con respecto al error Heartbleed, sin que se preste ninguna atención a Macintosh en el entorno. Estoy buscando información sobre el cliente Mac OS X y sobre el server Mac OS X. En este momento no es práctico para mí comprobar todas las Mac en el entorno para su versión específica de OpenSSL , pero ya tengo la información de la versión Mac OS X para las máquinas afectadas.

  • iCloud no puede encontrar mi MacBook
  • OSX Open Atom desde la terminal
  • Tratar pantalla completa como espacios de escritorio en materia de navigation
  • ¿Cómo cambiar la order de connection de networking?
  • ¿Qué versión de Safari está en Mac OS Lion?
  • Reorganizar imágenes individuales en Fotos?
  • ¿Hay alguna manera más rápida de reiniciar macOS Sierra en la partición bootcamp?
  • ¿Cómo puedo encontrar atajos de keyboard conflictivos?
  • Mi iMac no me permitirá iniciar session en mi escritorio
  • Applescript: comprobar y remontar automáticamente el volumen del server dejó de funcionar
  • ¿Cómo cambiar el background de un dialog de Acuerdo de licencia de software de DMG?
  • ¿Es posible habilitar una escala de 1.5x usando HiDPI en OS X?
  • 3 Solutions collect form web for “¿Qué versiones de OS X se ven afectadas por Heartbleed?”

    Ninguna versión de OS X se ve afectada (ni iOS se ve afectado). Solo la installation de una aplicación o modificación de un tercero daría lugar a un progtwig Mac o OS X con esa vulnerabilidad / error en OpenSSL versión 1.0.x


    Apple desaprobó OpenSSL en OS X en diciembre de 2012 si no antes. Ninguna versión de OpenSSL que sea vulnerable a CVE-2014-0160 (también conocido como el error Heartbleed )

    Apple proporciona varias interfaces de aplicaciones alternativas que proporcionan SSL a los desarrolladores de Mac y tiene esto que decir sobre OpenSSL:

    OpenSSL no proporciona una API estable de una versión a otra. Por esta razón, aunque OS X proporciona bibliotecas OpenSSL, las bibliotecas OpenSSL en OS X están en desuso, y OpenSSL nunca se ha proporcionado como parte de iOS. Se desaconseja enérgicamente el uso de las bibliotecas OS X OpenSSL por aplicaciones.

    Específicamente, la última versión de OpenSSL enviada por Apple es OpenSSL 0.9.8y 5 de febrero de 2013, que no parece tener el error de las versiones más nuevas de OpenSSL con el código de la versión de la biblioteca de Apple.

    El PDF de esta documentation tiene algunos consejos claramente escritos para desarrolladores y algunas secciones que son útiles para los profesionales o para el usuario con mentalidad de security.

    • Desarrolladores de OpenSSL para Mac y versión en PDF de la Guía de services criptocharts de Apple

    Teniendo esto en count, el único problema restante sería un software adicional creado contra OpenSSL, por ejemplo, varios en Homebrew ( brew update seguida de brew upgrade ) o MacPorts ( port self update del port upgrade openssl seguido de la port upgrade openssl ) para actualizar a la versión parche 1.x de openSSL.

    Además, podría usar mdfind / mdls para verificar los files llamados openssl en caso de que tenga otras aplicaciones que agrupen esa biblioteca como Apple recomienda en lugar de depender de la versión "segura" que Apple todavía envía con OS X.

     for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done 

    He ejecutado la openssl version en todas las Mac en las que pude tener acceso 1 y todas muestran:

     OpenSSL 0.9.8y 5 Feb 2013 

    … incluida la última versión actual: OS X 10.9.2.

    Por lo tanto, puedo concluir que ninguna versión de OS X se ve afectada por Heartbleed.

    1 y también algunos que no pude y solo tuve SSH, aún así probado, ¡las máquinas de producción son importantes! En general, probé alnetworkingedor de 30 máquinas con varias versiones de OS X.

    Si bien OS X no incluye las versiones afectadas de OpenSSL, se recomienda encarecidamente hacer una openssl version en caso de que se haya instalado uno como parte de un package de terceros.

    Por ejemplo, mi computadora informó OpenSSL 1.0.1f 6 Jan 2014 porque se había incluido como una dependencia de algo que había instalado a través de MacPorts. sudo port upgrade outdated resuelto esto, por supuesto.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).