OpenSSL update wegen Sicherheitslücke

[barto]

http://www.heise.de/newsticker/data/pab-20.02.03-000/

Kann ich denn auf meinem Rootserver (Suse 7.2, Apache 1.3.27 nach HowTo, PHP 4.2.3 nach HowTo) einfach das neue OpenSSL installieren, ohne Apache, PHP etc. neuinstallieren/neukompilieren zu müssen?

[sascha]

SuSE 7.2 RPMs kompillieren gerade ;)

Edit: Fertig,

Download unter http://217.160.92.19/~rootforum/openssl/0.9.6i/
Installation mit rpm -Uhv --nodeps openssl-*

[barto]

super.. danke!!! :lol:

EDIT:
hmm habs gerade installiert und Apache neugestartet, aber der zeigt immer noch die 0.96h version an... muß ich denn jetzt apache neukompilieren?

[sascha]

Jupp, mod_ssl muss auch rekompiliert werden. Ich stelle die Pakete in Kürze bereit

Edit: hier sind sie: http://217.160.92.19/~rootforum/apache/1.3.27/

[kase]

betrifft das Problem auch Debian Stable ?

apt-get update; apt-get upgrade hat 0 Security Patches installed.

[floschi]

Ich denke da tut sich demnächst was - Debian ist oft schneller als die eigentlichen Quellen, aber nicht immer ;)

[captaincrunch]

Ich denke da tut sich demnächst was - Debian ist oft schneller als die eigentlichen Quellen, aber nicht immer

Ich würde Wetten darauf eingehen, dass Debian die Pakete als erste Distri gepacht rausbringt ... war bisher (fast) immer so ...

[barto]

Jupp, mod_ssl muss auch rekompiliert werden. Ich stelle die Pakete in Kürze bereit

Edit: hier sind sie: http://217.160.92.19/~rootforum/apache/1.3.27/

danke, aber:

Code: Select all

error: apache-devel-1.3.27-17.i686.rpm does not appear to be a RPM package

[sascha]

Hi,

ich habe sie nochmal kopiert. Hier mal die md5 Summen zum überprüfen:

13c44f006a5af986adbb5ccd0ec09e7d apache-1.3.27-17.i686.rpm
df3d7248d9d437127f495fe776474fcd apache-devel-1.3.27-17.i686.rpm
16109c34aea17c943dea4affe69d6207 apache-doc-1.3.27-17.i686.rpm
6b9c330c93ff6e0be8acdef5a9a3d13d mod_ssl-2.8.12-17.i686.rpm

[kase]

verwendet Debian beim Stable die Version, die betroffen ist ?

Weil is immer noch kein Update da :(

[captaincrunch]

Weil is immer noch kein Update da

Welche Updateserver hast du in deiner sources.list ? Der Puretec-Server ist zwar vielleicht günstiger, leider in solchen Fällen aber auch langsamer ...

Sieht aber bisher nicht danach aus :
http://www.debian.org/security/

[Anonymous]

@ Sascha:

Die Frage ist ja schon fast etwas dreist, aber:

Du hast nicht zufällig auch die rpm's für Sparc? :)

Gruß
Thanatos

[Outlaw]

Ich bekomme immer nur jede Menge:

Code: Select all

.... conflicts between attemped installs of openssl-doc-0.9.6i-2 and openssl-doc-0.9.6h-1

ich kann openssl auch nicht deinstallieren ....

Was mache ich falsch ??

[Matthias Diehl]

Installation mit rpm -Uhv --nodeps openssl-*

Hast Du das auch so gemacht ?
Dann dürfte das kein Problem sein.

[Outlaw]

Ja, habe ich gemacht, keine Chance, ich bekomme immer die selben Fehler.

Muss ich Apache auch neu installieren ??

[Outlaw]

Und nu ??

Naja, wenn ich um den Apache nicht rumkomme, würde ich gerne das FAQ nochmal durchgehen aber mit einigen Ã?nderungen:

mit neuem

SSL
PHP

Wie deinstalliere ich das alte "Zeug" und wie sieht es mit PHP aus ?? Momentan habe ich 4.2.3 laufen, von 4.3.0 wurde ja abgeraten. Ist 4.3.1 schon soweit oder soll ich wieder auf 4.2.3 gehen ??

[kase]

zum Thema Debian:

Habe bereits eine Mail bekommen, von der Security List, die auf die Sicherheitslücke beim Stable hingewiesen hat, update steht aber immer noch keins zur Verfügung, is das bei jemand anders ?

[arty]

Hi Kase,

ich hab die Mail auch erhalten, den Fix finde ich aber auch nicht und bekomme auch keine Updates per apt-get update.

bye
arty

[kase]

Ein apt-get update reicht ja soviel ich weiß alleine nicht aus... da musst du noch ein apt-get upgrade machen.

Aber der installiert einfach nicht das ssl Update, hab gedacht, Debian wär bei sowas recht flott.

[arty]

Hi,

wie Kase und ich eben herausgefunden haben, haben wir eine libssl von ftp://ftp.de.debian.org woody-proposed-updates/main, und dort haben wir uns die Version 0.9.6g bekommen und nicht wie im "normalen" Woody 0.9.6c.

So kann man aber den Fix installieren:

Code: Select all

wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.2_i386.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.2_i386.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.2_i386.deb

Nun installiert man das alles mit

Code: Select all

dpkg -i libssl-dev_0.9.6c-2.woody.2_i386.deb
dpkg -i libssl0.9.6_0.9.6c-2.woody.2_i386.deb
dpkg -i openssl_0.9.6c-2.woody.2_i386.deb

Dann sind die Sicherheitslücken geschlossen!

bye
arty

[barto]

ach ja leute, nicht vergessen, OpenSSH auch noch upzudaten (neu kompilieren, configure (...) && make clean && make && make install),

sonst gibts spätestens beim nächsten reboot ne deftige überraschung, daß man sich nicht mehr per ssh einloggen kann 8)

[harley]

Hallo Leute,

hab da mal ne frage zu.

Ich wollte openssl 0.9.7a installieren, ging auch alles soweit ganz gut, nur lief php 4.3.1 am ende damit nicht.
Ich habe dann wieder openssl 0.9.6i geholt und neu compiliert, auch in php neu eincompiliert. Nun Zeigt mir der Apache allerdings immer noch die 0.9.7a Version an. Was habe ich da falsch gemacht oder vergessen?

[as-n]

Ich muss jetzt noch mal nachfragen, openssl habe ich compiliert, ging wunderbar, nur hat er mir die ganzen binaries ins Unterverzeichnis /apps des Installationsverzeichnisses erstellt.
Es reicht doch nicht, dass ich die openssl nach /usr/sbin kopiere, oder?

Muss ich dann noch den Apachen oder PHP neu compilieren, wenn ja warum?