Sicherheitsloch in OpenSSL

Thorsten

SSF Facilitymanagement
Staff member
Gestern wurde ein Update für OpenSSL herausgegeben, in welchem zwei Fehler im Programmcode behoben wurden. OpenSSL wird auf Webservern unter anderem zum Aufbau von verschlüsselten Verbindungen über das https-Protokoll benutzt. Falls diese Schwachstellen ausgenutzt würden, könnte der Server durch eine sogenannte Denial-of-Service Attacke beeinträchtigt werden.

Beachten Sie bitte die Hinweise von Suse und aktualisieren Sie das Paket OpenSSL. Hierzu können Sie die Yast-Online-Update-Funktion verwenden.
Der Befehl rpm -q openssl sollte danach die Version openssl-0.9.6g-114 ausgeben.

Falls Sie das Paket selbst manuell updaten möchten, finden Sie die aktuellen Quellen unter http://www.openssl.org/source/.

Quelle : Strato
 

Huschi

Moderator
Staff member
Strato said:
OpenSSL wird auf Webservern unter anderem zum Aufbau von verschlüsselten Verbindungen über das https-Protokoll benutzt. Falls diese Schwachstellen ausgenutzt würden, könnte der Server durch eine sogenannte Denial-of-Service Attacke beeinträchtigt werden.
:D ROTFL :D
Apache wird unter anderem zum Aufbau von Verbindungen über das http-Protokoll benutzt. Falls diese Schwachstelle ausgenutzt würde, könnte der Server durch eine DoS-Attacke beeinträchtigt werden.
Wir empfehlen: /etc/init.d/httpd stop

huschi.
 

tim

Registered User
Hallo,

ich würde gerne die neue Version installieren. Die Hinweise in der FAQ bezüglich eines Builds unter RedHat (ich nutze RH9 auf einem vServer von s4y) halten mich allerdings bisher davon ab, weil mehrere Packages von der installierten Version abhängig sind bzw. sein sollen.

Wie bekomme ich raus, welches Packages nun von openssl abhängen? Kann ich diese über rpm (kenne mich damit noch nicht so gut aus) ermitteln?

Desweiteren liefert mir rpm -q -a | grep openssl die Packages

openssl-perl-0.9.7a-20
openssl-devel-0.9.7a-20
openssl-0.9.7a-20


Mit den ersten Beiden kann ich nicht viel anfangen. Wofür sind die da?

Gruß
tim
 

gnugu13

Registered User
tim said:
Hallo,

ich würde gerne die neue Version installieren. Die Hinweise in der FAQ bezüglich eines Builds unter RedHat (ich nutze RH9 auf einem vServer von s4y) halten mich allerdings bisher davon ab, weil mehrere Packages von der installierten Version abhängig sind bzw. sein sollen.

Wie bekomme ich raus, welches Packages nun von openssl abhängen? Kann ich diese über rpm (kenne mich damit noch nicht so gut aus) ermitteln?

Desweiteren liefert mir rpm -q -a | grep openssl die Packages

openssl-perl-0.9.7a-20
openssl-devel-0.9.7a-20
openssl-0.9.7a-20


Mit den ersten Beiden kann ich nicht viel anfangen. Wofür sind die da?

Gruß
tim

Hi Tim,

bei openssl-perl ist sicher die perlunterstützung gemeint
devel = development = entwicklerstrukturen
das paket wird meist mit benötigt
wenn du rpm frage willst was benötigt wird
dann kannst du so fragen
rpm ---whatrequires openssl-0.9.7a-20.rpm
dabei werden die Abhängigkeiten dargestellt

wobei :
--whatrequires ---> query/verify the package(s) which require a
dependency

abfrage z.Bsp.:

151219:~ # rpm -q openssl --whatrequires
wu-ftpd-2.6.2-5
openssl-devel-0.9.6b-28
mod_ssl-2.8.12-2

für die installierte version

Kam etwas licht in das Dunkel?

gruss
klaus
 

tim

Registered User
Danke, damit habe ich jetzt schonmal die Liste der Programme, die bei mir von openssl abhängig sind:

rpm -q openssl --whatrequires
curl-7.10.8-1.intergenia
popa3d-0.6.3-11.rh9.swsoft
mod_ssl-2.0.48-1.5.intergenia
openssl-devel-0.9.7a-20
openssl-perl-0.9.7a-20


Bedeutet das jetzt, dass ich diese Programme ebenfalls aktualisieren / neu kompilieren muss, wenn ich dort die neue openssl-Version nutzen möchte?
Wenn ja, was mache ich mit den angepassten intergenia/swsoft-Versionen? Den Sourcecode dazu habe ich ja nicht.

Ich bin verwirrt :confused: oder ist es nur die Angst vor'm Kompilier-Kollaps?

Gruß
tim
 

Huschi

Moderator
Staff member
Am sicherersten wäre es, Du wartest auf ein RedHat/Fedora-RPM.
Man kann aber auch mit der 'alten' Version gut leben... ;)

tim said:
openssl-devel-0.9.7a-20
openssl-perl-0.9.7a-20
Ich denke, es reicht einfach diese mit 'rpm -Uvh' in der neuen Version einzuspielen. Der Sprung von 0.9.7a auf 0.9.7d ist nicht so groß, daß gleich alles ausgetauscht werden muß.

huschi.
 

gnugu13

Registered User
Ich schliesse mich der Meinung an

Huschi said:
Am sicherersten wäre es, Du wartest auf ein RedHat/Fedora-RPM.
Man kann aber auch mit der 'alten' Version gut leben... ;)


Ich denke, es reicht einfach diese mit 'rpm -Uvh' in der neuen Version einzuspielen. Der Sprung von 0.9.7a auf 0.9.7d ist nicht so groß, daß gleich alles ausgetauscht werden muß.

huschi.
im Zweifelsfall - nach neustart apache ( mod_ssl )
muss dessen modul ausgetauscht werden -- betrifft die ssl (https) Verbindungen
bei popa3d betrifft es auch nur gesicherte pop Verbindungen
ich würde also die pakete
openssl-devel-0.9.7a-20
openssl-perl-0.9.7a-20
mit updaten - und testen
also alle 3 rpm-pakete downloaden bzw übersetzen
in einem verzeichnis
und dann
rpm -Uvh openssl*
und aufmerksam die meldungen lesen :D
 

mbroemme

Blog Benutzer
tim said:
Danke, damit habe ich jetzt schonmal die Liste der Programme, die bei mir von openssl abhängig sind:

rpm -q openssl --whatrequires
curl-7.10.8-1.intergenia
popa3d-0.6.3-11.rh9.swsoft
mod_ssl-2.0.48-1.5.intergenia
openssl-devel-0.9.7a-20
openssl-perl-0.9.7a-20


Bedeutet das jetzt, dass ich diese Programme ebenfalls aktualisieren / neu kompilieren muss, wenn ich dort die neue openssl-Version nutzen möchte?
Wenn ja, was mache ich mit den angepassten intergenia/swsoft-Versionen? Den Sourcecode dazu habe ich ja nicht.

Ich bin verwirrt :confused: oder ist es nur die Angst vor'm Kompilier-Kollaps?

Gruß
tim

Wenn ich mal Zeit find pack ich die src RPMs alle auf meinen Webserver bis auf die von Confixx :)
 
Top