ASN1 BIO vulnerability in OpenSSL (CVE-2012-2110)

rMarkus

Chuck The Plant
Hallo,

gerade ist ja der folgende Fehler in OpenSSL in allen Medien: http://openssl.org/news/secadv_20120419.txt


Das OpenSSL in den Ports hat den Fix bekommen, z.B. http://www.freshports.org/security/openssl/ (1.0.1_1)


Nach meiner Information ist OpenSSL auch immer im Base von FreeBSD enthalten.
Mich wundert, dass ich bei FreeBSD keinen Hinweis z.B. unter http://security.freebsd.org dazu finde.

Daher habe ich folgende Fragen:
  1. Ist FreeBSD überhaupt betroffen?
  2. Gibt es einen Fix(, wenn ja)?
  3. Für welche Releases gibt es einen Fix?
 
Na endlich. Auch wenn solche SA verständlicherweise ihre Zeit benötigen, war es dieses mal doch schon arg lange. Gerade, da die Lücke recht bekannt war.
 
WITH_OPENSSL_BASE=YES und darauf aufbauende Ports aktualisieren

Wenn WITH_OPENSSL_BASE=YES verwendet wird,
ist es ja nicht so einfach mit einem rekursiven Portupgrade auf den openssl Port getan.
Zeigt mir:
Code:
 ldconfig -r `which openssl`
alles an was auf openssl aufsetzt?

Ich frage das, weil ich gerade etwas am basteln bin, das mir anzeigt, was alles an installierten Ports am besten neu gebaut werden sollte.
Da ich KDE4 installiert habe und somit viele Pakete habe, würde ich das neubauen doch ganz gerne auf die notwendigen Pakete beschränken, andernfalls wären es sonst deutlich über tausend. :ugly:

Zudem habe ich leider bisher keine andere Möglichkeit, als zeilenweises übergeben an pkg_info -W heraus gefunden, eine Liste in einem Rutsch scheint pkg_info -W leider nicht zu mögen.

Edit:
Oder habe ich nur einen zu hastigen Blick in die ldconfig Manual Page geworfen?
Finden sich eher mit:
Code:
grep -E 'ssl|crypto|asn1' /usr/local/libdata/pkgconfig/*pc
die Ports, die besser neu gebaut werden sollten?
 
Zuletzt bearbeitet:
Wozu willst du denn die Ports neubauen, wenn du einen Bugfix in einer Shared Library durchgeführt hast? Es ist ja nicht so, als ob sich die API geändert hat.

Alte Library austauschen, Programm neustarten, fertig.

Etwas Anderes ist es mit statisch gelinkten Programmen, aber da wirst du mit einer ldconfig-Suche auch nicht weit kommen.
 
Im FreeBSD-SA-12:01.openssl Security Advisory steht folgende Bemerkung:
FreeBSD-SA-12:01.openssl Security Advisory schrieb:
NOTE: Any third-party applications, including those installed from the
FreeBSD ports collection, which are statically linked to libcrypto(3)
should be recompiled in order to use the corrected code.
Wie kann ich sicher sein, das nicht ein Port die libcrypto statisch linkt?
Mit ldconfig war ich aber auf dem Holzweg.
Nach dem auslesen der pkg-config Informationen habe ich dann:
Code:
portupgrade -rfu \*asn\* \*flac\* \*nettle\* \*libavcodec\* \*curl\* \*msn\* \*rtmp\* \*torrent\* \*nss\* \*neon\* \*ortp\* \*raptor\* \*nss\*
gemacht und bin nach dem abfeuern dieser kleinen Breitseite schlafen gegangen. Das hat dann so etwa um die 200 Ports auf meinem System neu gebaut und war fertig nach dem wach werden.
Möglicherweise war es etwas übertrieben, aber dafür sollte ich damit auf der sicheren Seite sein.

Edit:
x11-servers/xorg-server habe ich auch neu gebaut, denn der verwendet auch die libcrypto.
 
Zuletzt bearbeitet:
Zurück
Oben