Con la nueva Actualización de OS X (10.10.5), Apple es la introducción de OpenSSL 0.9.8. He navegado por el oficial de OpenSSL página, y no pude conseguir la Versión 1.0.2.
Mi pregunta es: ¿por Qué Apple utilizando una Versión de OpenSSL? Es a causa de funciones obsoletas en la Versión 1.0 o ¿cuál es la razón detrás de ella?
Fuente: Apple páginas de Seguridad
¿Por qué Apple usando una versión vulnerable de OpenSSL?
No, no.
Si hace clic en el enlace que publicó en su pregunta, usted verá que esta actualización de parches de una serie de vulnerabilidades que existen de forma idéntica en OpenSSL 0.9.8, 1.0.0, 1.0.1 y 1.0.2.
Así que, en otras palabras, la versión que más tarde se sugiere como una alternativa, 1.0.2, era tan vulnerable como 0.9.8 fue, y ambos fueron fijados en el mismo tiempo.
Con la nueva Actualización de OS X (10.10.5), Apple es la introducción de OpenSSL 0.9.8. He navegado por el oficial de OpenSSL página, y no pude conseguir la Versión 1.0.2.
Apple es la actualización de OpenSSL para 0.9.8 zg, que está a sólo 2 meses de edad, y sólo 4 semanas mayor que el de la versión 1.0.2 d.
Mi pregunta es: ¿por Qué Apple utilizando una Versión de OpenSSL? Es a causa de funciones obsoletas en la Versión 1.0 o ¿cuál es la razón detrás de ella?
Que es algo que usted tendrá que pedir a Apple. Mi mejor conjetura es que 0.9.8 es la versión que hicieron sus pruebas de compatibilidad, y la actualización a una versión más reciente requeriría una completamente nueva ronda de pruebas de un componente que está en desuso de todos modos. Ya es obsoleto, el software más reciente (que posiblemente podría depender de las características más recientes) no se debe usar de todos modos, y mayores de software que usa todavía el no uso de las nuevas características (porque no existen) y que incluso podría ser roto por una actualización, así que ¿por qué molestarse?
Mientras el OpenSSL de la comunidad, aún mantiene la 0.9.8 rama, Apple no tiene que hacer el trabajo de la adaptando cambios parches.
Tenga en cuenta que esto no es nada inusual. Apple presentó una versión antigua de Ruby por un tiempo muy largo, y por lo general no actualizar durante un ciclo de liberación, sólo en entre versiones. Las distribuciones de Linux, así Bsd y otras distribuciones de Unix también normalmente no actualización de versiones durante un lanzamiento, sólo se aplican correcciones de errores y parches de seguridad. Debian, en particular, generalmente ni siquiera arreglar todos los fallos, sólo las vulnerabilidades de seguridad y errores que pueden resultar en la pérdida de datos de usuario – cualquier cambio, incluso una corrección de errores es una posible incompatibilidad y un potencial de nuevos errores; errores conocidos son mejores que los desconocidos!
OpenSSL es obsoleto oficialmente. Existe (por lo que poco tiempo Apple permite avanzar) para no interrumpir el software que no migrar a Apple alternativa o paquete SSL internamente con la aplicación.
Ver el Desarrollador de Apple enlace para el anuncio de descartar: (los otros enlaces son más fáciles de lectura / más de la síntesis de el por qué como a el lo)
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
