Pourquoi Apple utilise-t-il une ancienne version d'OpenSSL?


16

Avec la dernière mise à jour OS X ( 10.10.5 ), Apple présente OpenSSL 0.9.8 . J'ai parcouru la page officielle d'OpenSSL , et là j'ai pu obtenir la version 1.0.2 .

Ma question est la suivante: pourquoi Apple utilise-t-il une ancienne version d'OpenSSL? Est-ce à cause des fonctions obsolètes de la version 1.0 ou quelle en est la raison?

Source: pages de sécurité Apple

Réponses:


20

Pourquoi Apple utilise-t-il une version vulnérable d'OpenSSL?

Ce n'est pas le cas.

Si vous cliquez sur le lien que vous avez publié dans votre question, vous verrez que cette mise à jour corrige un certain nombre de vulnérabilités qui existent de manière identique dans OpenSSL 0.9.8, 1.0.0, 1.0.1 et 1.0.2.

En d'autres termes, la version que vous suggérerez plus tard comme alternative, 1.0.2, était tout aussi vulnérable que 0.9.8, et les deux ont été corrigées en même temps.

Avec la dernière mise à jour OS X ( 10.10.5 ), Apple présente OpenSSL 0.9.8 . J'ai parcouru la page officielle d'OpenSSL , et là j'ai pu obtenir la version 1.0.2 .

Apple met à jour OpenSSL à 0.9.8zg, qui n'a que 2 mois et seulement 4 semaines de plus que 1.0.2d.

Ma question est la suivante: pourquoi Apple utilise-t-il une ancienne version d'OpenSSL? Est-ce à cause des fonctions obsolètes de la version 1.0 ou quelle en est la raison?

C'est quelque chose que vous devrez demander à Apple. Ma meilleure supposition est que 0.9.8 est la version avec laquelle ils ont fait leurs tests de compatibilité, et la mise à niveau vers une version plus récente nécessiterait une toute nouvelle série de tests pour un composant qui est de toute façon obsolète. Comme il est obsolète, les logiciels plus récents (qui pourraient éventuellement s'appuyer sur de nouvelles fonctionnalités) ne devraient pas l'utiliser de toute façon, et les logiciels plus anciens qui l'utilisent encore n'utilisent pas les nouvelles fonctionnalités (car ils n'existaient pas) et pourraient même être cassés par une mise à jour, alors pourquoi s'embêter?

Tant que la communauté OpenSSL maintient toujours la branche 0.9.8, Apple n'a même pas à faire le travail de rétroportage des correctifs.

Notez que cela n'a rien d'inhabituel. Apple a livré une ancienne version de Ruby pendant très longtemps, et ils ne sont généralement pas mis à jour pendant un cycle de publication, uniquement entre les versions. Les distributions Linux ainsi que les BSD et autres distributions Unix ne mettent généralement pas à jour les versions pendant une version, ils appliquent uniquement des corrections de bugs et des correctifs de sécurité. Debian, en particulier, ne corrige généralement pas tous les bogues, seulement les vulnérabilités de sécurité et les bogues qui pourraient entraîner une perte de données utilisateur - tout changement, même un correctif de bogue est une incompatibilité potentielle et un potentiel de nouveaux bogues; les bogues connus sont meilleurs que les bogues inconnus!


3
Si vous le savez, dites-le et dites-nous comment vous le savez. Sinon, tout ce que vous faites, c'est deviner.
Steve Chambers

L'OP lui-même lié à un document qui indique clairement qu'un certain nombre de vulnérabilités (toutes les plus récentes connues dans OpenSSL) ont été corrigées dans cette mise à jour. Permettez-moi de reformuler ma réponse.
Jörg W Mittag

1
Bien joué - merci d'avoir coupé les chiffres et expliqué que plusieurs branches sont déplacées vers l'avant et corrigées. +1 en effet
bmike

Notez que selon leur stratégie de publication actuelle , la branche OpenSSL 0.9.8 sera prise en charge jusqu'à la fin de 2015, avec la branche 1.0.0. La version 0.9.8 était une «version majeure» dans le cadre de leur ancien schéma de gestion des versions, et est maintenue depuis 2005, la dernière révision mineure étant «zg», la 33e version de cette branche, selon ce journal .
IMSoP

17

OpenSSL est officiellement obsolète. Il existe (pour le peu de temps qu'Apple autorise à l'avenir) à ne pas casser les logiciels qui ne migrent pas vers l'alternative d'Apple ou ne regroupent pas SSL en interne avec l'application.

Voir le lien Apple Developer pour l'annonce de dépréciation: (les autres liens sont plus faciles à lire / plus de synthèse du pourquoi quant au quoi )

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.