Puppy Linux 日本語 フォーラム

ふうせん Fu-sen. さんが書きました:lupu-5.2.8 に関係する Lucid も Ubuntu パッケージが更新されています。 0.9.8k-7ubuntu8.18 です。

旧バージョンである libssl0.9.8 の Precise 用の修正パッケージはまだ出てませんが、今後も出ない可能性大ですね。
そうすると、571JPにもこの Lucid 用のものを流用するか…(ディレクトリ構成の修正は必要)。

そもそも libssl0.9.8 を使っているアプリって、Precise-571JP で何か残してたでしょうか？
これ、Precise だけ残してあるんですよね。
検索してみたら、Barry さんのブログでそれっぽいやりとりをしているのを発見しました。

http://bkhome.org/blog/?viewDetailed=02761

ちなみに Slacko や Dpup Wheezy には 0.9.8 のライブラリはなくて、1.0.1 だけでした。
使ってないようだったら現バージョンは放置ですし、
後のリリースであれば消してしまっても良いように思ってるんですけどねぇ。

ふうせん Fu-sen. さんが書きました:そもそも libssl0.9.8 を使っているアプリって、Precise-571JP で何か残してたでしょうか？

たぶん Hiawathaかと。
viewtopic.php?f=35&t=2581&start=15#p19174

Hiawatha Web Server……あ、これですね。

https://www.hiawatha-webserver.org/about

Puppy に入ってるのは古いバージョンなんですね。
途中から PolarSSL に置き換えてますね。
しかも Hiawatha に含まれているような？

という事は Hiawatha を残す場合でも
新バージョンにすれば、OpenSSL の古いライブラリを消せそうですね。
または Hiawatha をなくせないか？ という選択肢もありますね……
なんか古いバージョンの OpenSSL ライブラリを
無理やりいれるのもちょっと〜という気がしてます。

シノバー さんが書きました:旧バージョンである libssl0.9.8 の Precise 用の修正パッケージはまだ出てませんが、今後も出ない可能性大ですね。
そうすると、571JPにもこの Lucid 用のものを流用するか…(ディレクトリ構成の修正は必要)。

PETを用意しました。1.0.1-4ubuntu5.14 は precise から、 libssl0.9.8k-7ubuntu8.18 は lucid のそれぞれ修正パッケージから。
openssl-fix-1.0.1-4ubuntu5.14-libssl0.9.8k-7ubuntu8.18.pet
http://shino.pos.to/party/bridge.cgi?pu ... se/update/
すでに openssl-fix-1.0.1-4ubuntu5.12.pet をインストールしている場合は、それをアンインストールしてから、上記の新しいものをインストールしてください。

SSL(TLS) の古い手順 SSLv3 の脆弱性 POODLE が Google セキュリティチームから発表されています。
関連情報は別途トピック化しています。
viewtopic.php?f=35&t=2755

主にブラウザ側で対応されているものですが、これに対して OpenSSL でもパッチが入りました。
OpenSSL パッケージが更新されています。

すでに入れている openssl・libssl パッケージをアンインストールした後、
最新版をインストールして下さい。
Precise-571JP を例にした手順は下記で紹介してあります。
viewtopic.php?p=19155#p19155

下記ではパッケージへのリンクを行っていますが、
パッケージマネージャからのインストールがおすすめです。

・Ubuntu Precise パッケージ(Precise-571JP・550JP) OpenSSL 1.0.1-4ubuntu5.20
説明 http://www.ubuntu.com/usn/usn-2385-1/
http://packages.ubuntu.com/precise/i386 ... l/download
http://packages.ubuntu.com/precise/i386 ... 0/download

・Ubuntu Lucid パッケージ(lupu-528jp) 0.9.8k-7ubuntu8.22
説明 http://www.ubuntu.com/usn/usn-2385-1/
http://packages.ubuntu.com/lucid/i386/openssl/download
http://packages.ubuntu.com/lucid/i386/l ... 8/download

・Slackware パッケージ(Slacko) 1.0.1j
説明 http://www.slackware.com/security/viewe ... ity.846452
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz

・Debian wheezy パッケージ(wheezy) 1.0.1e-2+deb7u13
説明 https://www.debian.org/security/2014/dsa-3053
https://packages.debian.org/ja/wheezy/i ... l/download
https://packages.debian.org/ja/wheezy/i ... 0/download

その他、Puppy 本家フォーラムで .pet パッケージが公開されるかもしれません。
今のところはブラウザでの無効化手順のみで公開されていないようです。

OpenSSL パッケージが数日中に順次更新されました。
Ubuntu パッケージの更新も確認しましたので、記載しておきます。
これには SSLv3 の無効化に関する更新が更に加わっています。
viewtopic.php?f=35&t=2755

すでに入れている openssl・libssl パッケージをアンインストールした後、
最新版をインストールして下さい。
Precise-571JP を例にした手順は下記で紹介してあります。
viewtopic.php?p=19155#p19155

下記ではパッケージへのリンクを行っていますが、
パッケージマネージャからのインストールがおすすめです。

・Ubuntu Precise パッケージ(Precise-571JP・550JP) OpenSSL 1.0.1-4ubuntu5.21
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/precise/i386 ... l/download
http://packages.ubuntu.com/precise/i386 ... 0/download

・Ubuntu Lucid パッケージ(lupu-528jp) 0.9.8k-7ubuntu8.23
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/lucid/i386/openssl/download
http://packages.ubuntu.com/lucid/i386/l ... 8/download

・Slackware パッケージ(Slacko) 1.0.1k
説明 http://www.slackware.com/security/viewe ... ity.782231
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz
ftp://ftp.slackware.com/pub/slackware/s ... ck14.0.txz

・Ubuntu trusty パッケージ(Tahrpup) 1.0.1f-1ubuntu2.8
説明 http://www.ubuntu.com/usn/usn-2459-1/
http://packages.ubuntu.com/trusty/i386/openssl/download
http://packages.ubuntu.com/trusty/i386/ ... 0/download

・Debian wheezy パッケージ(wheezy) 1.0.1e-2+deb7u14
説明 https://www.debian.org/security/2015/dsa-3125
https://packages.debian.org/ja/wheezy/i ... l/download
https://packages.debian.org/ja/wheezy/i ... 0/download

その他、Puppy 本家フォーラムで .pet パッケージが公開されるかもしれません。