最新のOS Xアップデート(10.10.5)で、AppleはOpenSSL 0.9.8を導入しています。私はを通じて閲覧公式のOpenSSLページ、およびそこに私はバージョン1.0.2を得ることができます。
私の質問は、Appleが古いバージョンのOpenSSLを使用しているのはなぜですか?バージョン1.0で廃止された機能のためか、またはその背後にある理由は何ですか?
最新のOS Xアップデート(10.10.5)で、AppleはOpenSSL 0.9.8を導入しています。私はを通じて閲覧公式のOpenSSLページ、およびそこに私はバージョン1.0.2を得ることができます。
私の質問は、Appleが古いバージョンのOpenSSLを使用しているのはなぜですか?バージョン1.0で廃止された機能のためか、またはその背後にある理由は何ですか?
回答:
Appleが脆弱なバージョンのOpenSSLを使用しているのはなぜですか?
そうではありません。
質問に投稿したリンクをクリックすると、この更新プログラムはOpenSSL 0.9.8、1.0.0、1.0.1、および1.0.2に同じように存在する多くの脆弱性を修正することがわかります。
つまり、代替として提案しているバージョン1.0.2は、0.9.8と同様に脆弱であり、両方とも同時に修正されました。
最新のOS Xアップデート(10.10.5)で、AppleはOpenSSL 0.9.8を導入しています。私はを通じて閲覧公式のOpenSSLページ、およびそこに私はバージョン1.0.2を得ることができます。
AppleはOpenSSLを0.9.8zgに更新しています。これはわずか2か月前で、1.0.2dより4週間前です。
私の質問は、Appleが古いバージョンのOpenSSLを使用しているのはなぜですか?バージョン1.0で廃止された機能のためか、またはその背後にある理由は何ですか?
それはAppleに尋ねなければならないことです。私の最良の推測は、0.9.8が互換性テストを行ったバージョンであり、新しいバージョンにアップグレードするには、とにかく非推奨のコンポーネントの完全に新しいラウンドのテストが必要だということです。廃止されているため、新しいソフトウェア(新しい機能に依存する可能性があります)はそれを使用するべきではなく、まだ使用している古いソフトウェアは新しい機能を使用せず(存在しないため)、破損する可能性もあります更新によって、なぜわざわざ?
OpenSSLコミュニティが0.9.8ブランチを維持している限り、Appleはパッチのバックポート作業を行う必要さえありません。
これは珍しいことではないことに注意してください。Appleは古いバージョンのRubyを非常に長い期間出荷しましたが、通常はリリースサイクル中は更新せず、リリースの間にのみ更新します。Linuxディストリビューション、BSD、その他のUnixディストリビューションも、通常、リリース中にバージョンを更新せず、バグ修正とセキュリティ修正のみを適用します。特に、Debianは一般に、すべてのバグを修正するわけではなく、セキュリティの脆弱性とユーザーデータの損失につながる可能性があるバグのみを修正します。変更、バグ修正でさえ、非互換性と新しいバグの可能性です。既知のバグは未知のバグよりも優れています!
OpenSSLは公式には非推奨です。Appleの代替に移行したり、SSLをアプリに内部的にバンドルしたりしないソフトウェアを壊さないようにすることは(Appleが少しの間許可する限り)存在します。
廃止の発表については、Apple Developerリンクを参照してください:(他のリンクは読みやすく、whatの理由のより多くの統合です)