OS XのどのバージョンがHeartbleedの影響を受けますか？

影響を受けるバージョンのOpenSSLにはデフォルトでOS Xのどのバージョンが付属していますか？

現在、すべてのインターネットトラフィックは、環境内のMacintoshに注意を払うことなく、Heartbleedバグに関する同じ一般情報で詰まっています。Mac OS XクライアントとMac OS Xサーバーに関する情報を探しています。現時点では、環境内のすべてのMacで特定のバージョンのOpenSSLを確認することは非現実的ですが、影響を受けるマシンのMac OS Xバージョン情報は既に入手しています。

OS Xのバージョンは影響を受けません（iOSも影響を受けません）。サードパーティのアプリをインストールするか変更するだけで、MacまたはOS XプログラムはOpenSSLバージョン1.0.xでその脆弱性/バグを抱えることになります。

Appleは2012年12月にOS XでOpenSSLを非推奨にしました。CVE-2014-0160（別名Heartbleed Bug）に対して脆弱なOpenSSLのバージョンはありません

Appleは、Mac開発者にSSLを提供するいくつかの代替アプリケーションインターフェイスを提供しており、OpenSSLについて次のように述べています。

OpenSSLは、バージョンごとに安定したAPIを提供しません。このため、OS XはOpenSSLライブラリを提供していますが、OS XのOpenSSLライブラリは廃止され、OpenSSLはiOSの一部として提供されたことはありません。アプリによるOS X OpenSSLライブラリの使用は強くお勧めしません。

具体的には、Appleが出荷するOpenSSLの最新バージョンはOpenSSL 0.9.8y 2013年2月5日であり、ライブラリのAppleバージョンのコードにバックポートされた新しいバージョンのOpenSSLのバグはないようです。

このドキュメントのPDFには、開発者向けの明確に書かれたアドバイスと、専門家やセキュリティ志向のユーザーにも役立つセクションがあります。

• Macの開発者のためのOpenSSLとAppleの暗号化サービスガイドのPDF版

これを考慮すると、残っている唯一の問題は、OpenSSLに対してビルドされた追加のソフトウェアです。たとえば、Homebrew（のbrew update後にbrew upgrade）またはMacPorts（のport self update後にport upgrade openssl）のいくつかがopenSSLのパッチ適用済み1.xバージョンに更新されます。

また、AppleがOS Xに同梱する「安全な」バージョンに依存するのではなく、Appleが推奨するライブラリをバンドルする他のアプリケーションがある場合、mdfind / mdlsを使用してopensslというファイルをチェックできます。

for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done

私はopenssl versionすべてのMacで¹を手に入れることができました。

OpenSSL 0.9.8y 5 Feb 2013

…現在の最新バージョンを含む：OS X 10.9.2。

したがって、OS Xのどのバージョンも Heartbleedの影響を受けないと結論付けることができます。

^{1および私ができなかったし、SSHだけを持っていました-それでもテストされていますが、実稼働マシンは重要です！全体として、さまざまなバージョンのOS Xを搭載した約30台のマシンをテストしました。}

OS Xは影響を受けるOpenSSLのリリースにはopenssl version同梱されていませんが、サードパーティのパッケージの一部としてインストールされている可能性がある場合は、引き続き行うことを強くお勧めします。

たとえば、OpenSSL 1.0.1f 6 Jan 2014MacPortsを介してインストールしたものの依存関係として含まれていたため、私のコンピューターは報告しました。sudo port upgrade outdatedもちろんこれを解決しました。