ASN1 BIO vulnerability in OpenSSL (CVE-2012-2110)

Dieses Thema im Forum "FreeBSD - Allgemein" wurde erstellt von rMarkus, 26 April 2012.

  1. rMarkus

    rMarkus Chuck The Plant

    Registriert seit:
    27 November 2004
    Beiträge:
    534
    Ort:
    NRW
    Hallo,

    gerade ist ja der folgende Fehler in OpenSSL in allen Medien: http://openssl.org/news/secadv_20120419.txt


    Das OpenSSL in den Ports hat den Fix bekommen, z.B. http://www.freshports.org/security/openssl/ (1.0.1_1)


    Nach meiner Information ist OpenSSL auch immer im Base von FreeBSD enthalten.
    Mich wundert, dass ich bei FreeBSD keinen Hinweis z.B. unter http://security.freebsd.org dazu finde.

    Daher habe ich folgende Fragen:
    1. Ist FreeBSD überhaupt betroffen?
    2. Gibt es einen Fix(, wenn ja)?
    3. Für welche Releases gibt es einen Fix?
  2. rMarkus

    rMarkus Chuck The Plant

    Registriert seit:
    27 November 2004
    Beiträge:
    534
    Ort:
    NRW
  3. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    7.411
    Ort:
    Schleswig-Holstein
    Na endlich. Auch wenn solche SA verständlicherweise ihre Zeit benötigen, war es dieses mal doch schon arg lange. Gerade, da die Lücke recht bekannt war.
  4. Fusselbär

    Fusselbär Makefile Voyeur

    Registriert seit:
    6 August 2004
    Beiträge:
    1.833
    Ort:
    Köln
    WITH_OPENSSL_BASE=YES und darauf aufbauende Ports aktualisieren

    Wenn WITH_OPENSSL_BASE=YES verwendet wird,
    ist es ja nicht so einfach mit einem rekursiven Portupgrade auf den openssl Port getan.
    Zeigt mir:
    Code:
     ldconfig -r `which openssl`
    
    alles an was auf openssl aufsetzt?

    Ich frage das, weil ich gerade etwas am basteln bin, das mir anzeigt, was alles an installierten Ports am besten neu gebaut werden sollte.
    Da ich KDE4 installiert habe und somit viele Pakete habe, würde ich das neubauen doch ganz gerne auf die notwendigen Pakete beschränken, andernfalls wären es sonst deutlich über tausend. :ugly:

    Zudem habe ich leider bisher keine andere Möglichkeit, als zeilenweises übergeben an pkg_info -W heraus gefunden, eine Liste in einem Rutsch scheint pkg_info -W leider nicht zu mögen.

    Edit:
    Oder habe ich nur einen zu hastigen Blick in die ldconfig Manual Page geworfen?
    Finden sich eher mit:
    Code:
    grep -E 'ssl|crypto|asn1' /usr/local/libdata/pkgconfig/*pc
    
    die Ports, die besser neu gebaut werden sollten?
    Zuletzt bearbeitet: 4 Mai 2012
  5. Paldium

    Paldium Member

    Registriert seit:
    11 Mai 2005
    Beiträge:
    95
    Ort:
    Oldenburg
    Wozu willst du denn die Ports neubauen, wenn du einen Bugfix in einer Shared Library durchgeführt hast? Es ist ja nicht so, als ob sich die API geändert hat.

    Alte Library austauschen, Programm neustarten, fertig.

    Etwas Anderes ist es mit statisch gelinkten Programmen, aber da wirst du mit einer ldconfig-Suche auch nicht weit kommen.
  6. Fusselbär

    Fusselbär Makefile Voyeur

    Registriert seit:
    6 August 2004
    Beiträge:
    1.833
    Ort:
    Köln
    Im FreeBSD-SA-12:01.openssl Security Advisory steht folgende Bemerkung:
    Wie kann ich sicher sein, das nicht ein Port die libcrypto statisch linkt?
    Mit ldconfig war ich aber auf dem Holzweg.
    Nach dem auslesen der pkg-config Informationen habe ich dann:
    Code:
    portupgrade -rfu \*asn\* \*flac\* \*nettle\* \*libavcodec\* \*curl\* \*msn\* \*rtmp\* \*torrent\* \*nss\* \*neon\* \*ortp\* \*raptor\* \*nss\*
    
    gemacht und bin nach dem abfeuern dieser kleinen Breitseite schlafen gegangen. Das hat dann so etwa um die 200 Ports auf meinem System neu gebaut und war fertig nach dem wach werden.
    Möglicherweise war es etwas übertrieben, aber dafür sollte ich damit auf der sicheren Seite sein.

    Edit:
    x11-servers/xorg-server habe ich auch neu gebaut, denn der verwendet auch die libcrypto.
    Zuletzt bearbeitet: 5 Mai 2012