Avec la dernière mise à jour d'OS X ( 10.10.5 ), Apple introduit OpenSSL 0.9.8 . J'ai parcouru les page officielle d'OpenSSL et il y a J'ai pu obtenir la version 1.0.2 .
Ma question est la suivante : Pourquoi Apple utilise-t-il une ancienne version d'OpenSSL ? Est-ce à cause de fonctions dépréciées dans la version 1.0 ou quelle est la raison derrière cela ?
Fuente: Pages de sécurité d'Apple
Pourquoi Apple utilise-t-il une version vulnérable d'OpenSSL ?
Ce n'est pas le cas.
Si vous cliquez sur le lien que vous avez posté dans votre question, vous verrez que cette mise à jour corrige un certain nombre de vulnérabilités qui existent de manière identique dans OpenSSL 0.9.8, 1.0.0, 1.0.1 et 1.0.2.
En d'autres termes, la version que vous proposez ensuite comme alternative, la 1.0.2, était tout aussi vulnérable que la 0.9.8, et les deux ont été corrigées en même temps.
Avec la dernière mise à jour d'OS X ( 10.10.5 ), Apple introduit OpenSSL 0.9.8 . J'ai parcouru les page officielle d'OpenSSL et il y a J'ai pu obtenir la version 1.0.2 .
Apple met à jour OpenSSL à la version 0.9.8zg, qui n'a que deux mois, et seulement quatre semaines de plus que la version 1.0.2d.
Ma question est la suivante : Pourquoi Apple utilise-t-il une ancienne version d'OpenSSL ? Est-ce à cause de fonctions dépréciées dans la version 1.0 ou quelle est la raison derrière cela ?
C'est quelque chose que vous devrez demander à Apple. Je pense que la version 0.9.8 est la version avec laquelle ils ont effectué leurs tests de compatibilité, et que la mise à jour vers une version plus récente nécessiterait une nouvelle série de tests pour un composant qui est de toute façon obsolète. Puisqu'il est déprécié, les logiciels plus récents (qui pourraient éventuellement s'appuyer sur de nouvelles fonctionnalités) ne devraient pas l'utiliser de toute façon, et les logiciels plus anciens qui l'utilisent encore n'utilisent pas les nouvelles fonctionnalités (parce qu'elles n'existaient pas) et pourraient même être cassés par une mise à jour, alors pourquoi s'en préoccuper ?
Tant que la communauté OpenSSL maintient la branche 0.9.8, Apple n'a même pas à faire le travail de rétroportage des correctifs.
Notez que cela n'a rien d'inhabituel. Apple a livré une ancienne version de Ruby pendant très longtemps, et ils ne mettent généralement pas à jour pendant un cycle de publication, seulement entre les publications. Les distributions Linux ainsi que les BSD et autres distributions Unix ne mettent généralement pas non plus à jour les versions au cours d'un cycle de publication, elles n'appliquent que des corrections de bogues et des correctifs de sécurité. Debian, en particulier, ne corrige généralement pas tous les bogues, mais seulement les vulnérabilités de sécurité et les bogues qui pourraient entraîner la perte de données utilisateur - tout changement, même une correction de bogue, est une incompatibilité potentielle et un potentiel pour de nouveaux bogues ; les bogues connus sont mieux que les inconnus !
OpenSSL est officiellement déprécié. Il existe (pour le peu de temps qu'Apple accorde à l'avenir) pour ne pas casser les logiciels qui ne migrent pas vers l'alternative d'Apple ou qui n'intègrent pas SSL en interne avec l'application.
Voir le lien Apple Developer pour l'annonce de la dépréciation : (les autres liens sont plus faciles à lire / plus synthétiques de l'annonce de la dépréciation). pourquoi quant à la ce que )
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
