OpenSSL の重大バグ

PUPPYアプリケーションパッケージ、PETやSFSなどのトラブル

モデレータ: 暇人, YoN, nyu

アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

libssl0.9.8

投稿記事 by シノバー »

ふうせん Fu-sen. さんが書きました:lupu-5.2.8 に関係する Lucid も Ubuntu パッケージが更新されています。 0.9.8k-7ubuntu8.18 です。
旧バージョンである libssl0.9.8 の Precise 用の修正パッケージはまだ出てませんが、今後も出ない可能性大ですね。
そうすると、571JPにもこの Lucid 用のものを流用するか…(ディレクトリ構成の修正は必要)。
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

そもそも libssl0.9.8 を使っているアプリって、Precise-571JP で何か残してたでしょうか?
これ、Precise だけ残してあるんですよね。
検索してみたら、Barry さんのブログでそれっぽいやりとりをしているのを発見しました。

http://bkhome.org/blog/?viewDetailed=02761

ちなみに Slacko や Dpup Wheezy には 0.9.8 のライブラリはなくて、1.0.1 だけでした。
使ってないようだったら現バージョンは放置ですし、
後のリリースであれば消してしまっても良いように思ってるんですけどねぇ。
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

libssl0.9.8 を使っているアプリ

投稿記事 by シノバー »

ふうせん Fu-sen. さんが書きました:そもそも libssl0.9.8 を使っているアプリって、Precise-571JP で何か残してたでしょうか?
たぶん Hiawathaかと。
viewtopic.php?f=35&t=2581&start=15#p19174
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

Hiawatha Web Server……あ、これですね。 :arrow:

https://www.hiawatha-webserver.org/about

Puppy に入ってるのは古いバージョンなんですね。
途中から PolarSSL に置き換えてますね。 :shock:
しかも Hiawatha に含まれているような?

という事は Hiawatha を残す場合でも
新バージョンにすれば、OpenSSL の古いライブラリを消せそうですね。
または Hiawatha をなくせないか? という選択肢もありますね…… :roll:
なんか古いバージョンの OpenSSL ライブラリを
無理やりいれるのもちょっと〜という気がしてます。
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

openssl-fix

投稿記事 by シノバー »

シノバー さんが書きました:旧バージョンである libssl0.9.8 の Precise 用の修正パッケージはまだ出てませんが、今後も出ない可能性大ですね。
そうすると、571JPにもこの Lucid 用のものを流用するか…(ディレクトリ構成の修正は必要)。
PETを用意しました。1.0.1-4ubuntu5.14 は precise から、 libssl0.9.8k-7ubuntu8.18 は lucid のそれぞれ修正パッケージから。
openssl-fix-1.0.1-4ubuntu5.14-libssl0.9.8k-7ubuntu8.18.pet
http://shino.pos.to/party/bridge.cgi?pu ... se/update/
すでに openssl-fix-1.0.1-4ubuntu5.12.pet をインストールしている場合は、それをアンインストールしてから、上記の新しいものをインストールしてください。
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

SSL(TLS) の古い手順 SSLv3 の脆弱性 POODLE が Google セキュリティチームから発表されています。
関連情報は別途トピック化しています。
viewtopic.php?f=35&t=2755

主にブラウザ側で対応されているものですが、これに対して OpenSSL でもパッチが入りました。
OpenSSL パッケージが更新されています。

すでに入れている openssl・libssl パッケージをアンインストールした後、
最新版をインストールして下さい。
Precise-571JP を例にした手順は下記で紹介してあります。
viewtopic.php?p=19155#p19155

下記ではパッケージへのリンクを行っていますが、
パッケージマネージャからのインストールがおすすめです。

・Ubuntu Precise パッケージ(Precise-571JP・550JP) OpenSSL 1.0.1-4ubuntu5.20
説明 http://www.ubuntu.com/usn/usn-2385-1/
http://packages.ubuntu.com/precise/i386 ... l/download
http://packages.ubuntu.com/precise/i386 ... 0/download

・Ubuntu Lucid パッケージ(lupu-528jp) 0.9.8k-7ubuntu8.22
説明 http://www.ubuntu.com/usn/usn-2385-1/
http://packages.ubuntu.com/lucid/i386/openssl/download
http://packages.ubuntu.com/lucid/i386/l ... 8/download

・Slackware パッケージ(Slacko) 1.0.1j
説明 http://www.slackware.com/security/viewe ... ity.846452
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz

・Debian wheezy パッケージ(wheezy) 1.0.1e-2+deb7u13
説明 https://www.debian.org/security/2014/dsa-3053
https://packages.debian.org/ja/wheezy/i ... l/download
https://packages.debian.org/ja/wheezy/i ... 0/download

その他、Puppy 本家フォーラムで .pet パッケージが公開されるかもしれません。
今のところはブラウザでの無効化手順のみで公開されていないようです。
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

OpenSSL パッケージが数日中に順次更新されました。
Ubuntu パッケージの更新も確認しましたので、記載しておきます。
これには SSLv3 の無効化に関する更新が更に加わっています。
viewtopic.php?f=35&t=2755

すでに入れている openssl・libssl パッケージをアンインストールした後、
最新版をインストールして下さい。
Precise-571JP を例にした手順は下記で紹介してあります。
viewtopic.php?p=19155#p19155

下記ではパッケージへのリンクを行っていますが、
パッケージマネージャからのインストールがおすすめです。

・Ubuntu Precise パッケージ(Precise-571JP・550JP) OpenSSL 1.0.1-4ubuntu5.21
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/precise/i386 ... l/download
http://packages.ubuntu.com/precise/i386 ... 0/download

・Ubuntu Lucid パッケージ(lupu-528jp) 0.9.8k-7ubuntu8.23
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/lucid/i386/openssl/download
http://packages.ubuntu.com/lucid/i386/l ... 8/download

・Slackware パッケージ(Slacko) 1.0.1k
説明 http://www.slackware.com/security/viewe ... ity.782231
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz

・Ubuntu trusty パッケージ(Tahrpup) 1.0.1f-1ubuntu2.8
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/trusty/i386/openssl/download
http://packages.ubuntu.com/trusty/i386/ ... 0/download

・Debian wheezy パッケージ(wheezy) 1.0.1e-2+deb7u14
説明 https://www.debian.org/security/2015/dsa-3125
https://packages.debian.org/ja/wheezy/i ... l/download
https://packages.debian.org/ja/wheezy/i ... 0/download

その他、Puppy 本家フォーラムで .pet パッケージが公開されるかもしれません。
ふうせん Fu-sen. ( old: 2 8 6 )
返信する