Heißt das, es gibt für ARM keine aktuellere Version im Rep.?
Offensichtlich noch nicht.
~jug
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
|||||
Anmeldungsdatum: Beiträge: 3350 |
Quasi fürs Protokoll: mittlerweile gibt es Browser Add-ons, um auf von Heartbleed betroffenen Webseiten Alarm zu schlagen.
|
||||
Anmeldungsdatum: Beiträge: 13893 |
In diesem noch nicht, aber z. B. in diesem: $ apt-cache policy openssl openssl: Installed: 1.0.1e-2+rvt+deb7u6 Candidate: 1.0.1e-2+rvt+deb7u6 Version table: *** 1.0.1e-2+rvt+deb7u6 0 500 http://mirrordirector.raspbian.org/raspbian/ wheezy/main armhf Packages 100 /var/lib/dpkg/status
$ openssl version -a | grep -i built built on: Tue Apr 8 19:07:59 UTC 2014 |
||||
Anmeldungsdatum: Beiträge: 713 Wohnort: Im Inntal |
Guten Morgen community. Wie erwartet, darf ich euch nicht so schöne Nachrichten überbringen.... |
||||
Anmeldungsdatum: Beiträge: 13893 |
Es gibt auch für ARM, aktuelle debian-Pakete für openssl & Co. Z. B.: http://ports.ubuntu.com/ubuntu-ports/pool/main/o/openssl/openssl_1.0.1e-3ubuntu1.2_armhf.deb :~$ stat -c %y openssl_1.0.1e-3ubuntu1.2_armhf.deb 2014-04-07 23:48:21.000000000 +0200 |
||||
Anmeldungsdatum: Beiträge: Zähle... |
Danke!! Ich hab jetzt mal das Debian Package für die Version 1.0.1f installiert: $ sudo dpkg -i openssl_1.0.1f-1ubuntu2_armhf.deb Selecting previously unselected package openssl. (Reading database ... 37122 files and directories currently installed.) Unpacking openssl (from openssl_1.0.1f-1ubuntu2_armhf.deb) ... Setting up openssl (1.0.1f-1ubuntu2) ... Processing triggers for man-db ... Vorher hab ich openssl mit apt-get remove gelöscht. Trotzdem nutzt er irgendwie noch die alte Bibliothek: openssl version OpenSSL 1.0.1f 6 Jan 2014 (Library: OpenSSL 1.0.1e 11 Feb 2013) Wie kann ich ihn dazu bringe, die neue zu nutzen? |
||||
Anmeldungsdatum: Beiträge: 13893 |
Von wann ist das 1.0.1f-openssl-binary bzw. wie hast Du die Version 1.0.1f installiert? openssl version -a | grep -i built EDIT: Wie ist die Ausgabe von: ldd $(which openssl) bzw. die libraries (ssl, ...) sollten auch updatet werden. |
||||
Anmeldungsdatum: Beiträge: 14259 |
Nein, warum? Ein Patch aendert den Quellcode, beispielsweise um Sicherheitsluecken zu fixen und nicht die Versionsnummer eines Programms. Also nochmal: nicht die angezeigte Versionsnummer ist relevant, sondern das CHANGELOG 🇬🇧 des jeweiligen Debian-Pakets in Ubuntu. CVE-2014-0160 alias Heartbleed ist also auch beim Paket openssl_1.0.1f-1ubuntu2_armhf.deb gefixt. |
||||
Anmeldungsdatum: Beiträge: 13 |
Ich habe nun mit den verschiedenen Versionen "rumprobiert" und zum Schluss sogar die aktuelle (anfällige) Version mit -DOPENSSL_NO_HEARTBEATS kompiliert.. Leider alles Ohne Erfolg. Nun habe ich OpenSSL nochmal komplett mittels "apt-get remove" deinstalliert und trotzdem startet der Apache, ich kann ganz normal eine https Verbindung aufbauen, die dann auch anfällig gegen den heartbleed exploit ist.. Nutzt der (mein) Apache vllt. gar nicht die auf dem System installierte OpenSSL Version? Sorry, wenn ich hier ein wenig nerve 😉 |
||||
Anmeldungsdatum: Beiträge: 3459 |
Wie testest du? |
||||
Anmeldungsdatum: Beiträge: 13 |
Mit diesen Script: https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl
|
||||
Anmeldungsdatum: Beiträge: 13893 |
apache wird zur run-time, nicht von openssl abhängig sein. Siehe die Abhängigkeiten von apache, z. B. mit ldd $(which apache) (oder gleichwertig). EDIT: Wie war die Ausgabe von dem zuletzt installierten openssl: openssl version -a | grep -i built ? |
||||
Anmeldungsdatum: Beiträge: 13 |
Aber ich dachte, es geht genau um diese Abhängligkeit zu OpenSSL, die das System verwundbar machen. D.h. also während einer https-Sitzung wird OpenSSL nicht direkt benötigt? Wie genau läuft dann das Zusammenspiel zwischen Apache und OpenSSL? Was zeigt bei dir der Befehl
?
|
||||
Anmeldungsdatum: Beiträge: 13893 |
Dann versuch mal mit: sudo pmap -x $(pidof httpd) Evtl. aus der "httpd.pid"-Datei, nur die "parent PID" und nicht "$(pidof httpd)" hier verwenden. sudo lsof | grep -i ssl
sudo netstat -tlpen | grep httpd
ldd $(which httpd) $ openssl version -a | grep -i built built on: Mon Jul 15 13:05:30 UTC 2013 Dann hast Du nicht das aktuelle/gepatchte Debianpaket für openssl downloadet. Du solltest aber auch die library updaten und nicht nur openssl. Siehe z. B. auch: apt-cache depends openssl apt-cache policy libssl1.0.0 apt-cache search libssl | grep SSL |
||||
Anmeldungsdatum: Beiträge: 13 |
Danke, das war der entscheidende Hinweis. Ich bin davon ausgegangen, dass ein Einspielen eines neuen openssl Paketes auch die Bibliotheken aktualisiert. Was natürlich nicht so ist, wie ich jetzt weiß ^^ Hab nun einfach nochmal ne aktuelle Version der libssl mittels dpkg eingespielt:
Damit ist auch das mod_ssl vom Apache wieder sicher ☺ Thx @all und vor allem an lubux! Grüße Christian |