Как обновить openssl debian
Всем привет. такой вопрос как обновиться до версии 1 0 1g?? набирал уже apt-get upgrade и потом apt-get update ну что-то обновилось ну результат так и не изменился в filippo.io/Heartbleed/ помогите что еще нужно для обновления может что-то не так делаю? стоит опер.система debian 32 bit
1.0.1g есть только в тестинге и сиде
набирал уже apt-get upgrade и потом apt-get update ну что-то обновилось
Нужно быть более внимательным.
ну результат так и не изменился в filippo.io/Heartbleed/
Во-первых нужно перезагрузить систему.
Перезагружать систему не нужно, достаточно перезапустить те демоны, которые используют openssl.
Ему так будет проще :D
И что? Там же у тебя:
В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.0.1e-2+deb7u5.
была исправлена в версии 1.0.1e-2+deb7u5.
А тем временем (на 09.04.2014) в 14.04 еще только:
вот скрипт на дебиан, я сегодня обновил нормально безе перезагрузки сервер.
а у меня debian 6 , не debian 7 :(
и как файл нужно подписывать в видео скрипта? пример покажите если вставлю этот код
Вот не надо, openssl дня 2-3 назад обновлялся, видимо патченный.
так расскажи как обновился? мне вот неизвестно на debian 6 как обновится :( , а в инете нечего нету
Зачем тебе обновляться? Ради буквы или дыры? Дистрибутив ты так и не озвучил.
ради дырок чтобы не было, пишет это в версии opensll
как вижу не каких изменение не произошло. Прошу вас объясните подробно как вы обновлялись?Свои темы не читаешь?
Надеюсь. Но я за что купил за то и продаю.
читаю, ну пойми я не лазию в этих ssh только захожу чтобы сервер вкл и все. НЕ мог бы так рассказать? там даже установки нету подобной что нужно куда кидать. Не мог бы своими словами рассказать пожалуйста?
Сделать apt-get update, потом создать файл lalka.sh и в него записать текст скрипта. потом сделать
chmod +x lalka.sh
После этого apt-get -f install
вписать в окошко службы для рестарта и нажать ентер.
спасибо большое. Все сделал по твоему описанию и все-ровно почему-то выдает OpenSSH_5.5p1 Debian-6+squeeze5, OpenSSL 0.9.8o 01 Jun 2010 , что делать?? неужели нужно на debian 7 идти?
и покажи вывод сюда перед тем как жать Y
а то можно дров наломать нечаянно
хотя смотрю вроде обновилось набрал команду
ой эту набрал команду dpkg -l | grep -i openssl и там вроде показыает это
Ну так 1.0.1f а не 1.0.1g. Или я что-то не понял?
я незнаю уже, ну какая то лажа с debian 6. apt-get upgrade
и покажи вывод сюда перед тем как жать Y
а то можно дров наломать нечаянно там нечего нету apt-get upgrade Reading package lists. Done Building dependency tree Reading state information. Done 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
незнаю, как скинули см.выше мне
openssl (1.0.1f-1ubuntu2) trusty; urgency=medium
* SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
- debian/patches/CVE-2014-0076.patch: add and use constant time swap in crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c, util/libeay.num.
- CVE-2014-0076
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
а по русский что куда вставить нужно?)повторюсь я в этом почти нечего не понимаю мне просто нужно обезопаситься лучше
1. Мой ответ был не тебе.
2. На твой вопрос ссылку тебе уже давали неоднократно. Вот кусок оттуда:
The oldstable distribution (squeeze) is not affected by this vulnerability.
На сайте OpenSSL написано тоже самое:
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.
И теперь два вопроса:
1. У тебя есть основания не доверять разработчикам своего дистрибутива?
2. Зачем тебе обновляться до 1.0.1g?
apt-get update apt-get dist-upgrade
openssl version -v OpenSSL 1.0.1e 11 Feb 2013
Идет с исправлениями безопасности.
А так, либо бэкпорт, либо руками собирать.
может думаю перейти на debian 7 ? может там будет работать?
Да успокойтесь вы. Версия 0.9.8 не подвержена уязвимости, и вам ссылку выше давали, какие версии патченные (даже, если они не g), а какие нет.
I need to install openssl 1.0 on debian 9 (stretch). when I run apt-get install openssl , version 1.1 is installed by default.
how can I change the repository in order to install an old version of openssl?
2 Answers 2
As others have mentioned, if you can use OpenSSL 1.1 instead, that would be best.
However, if you really do need OpenSSL 1.0, the answer depends on your exact requirement. If you only need the OpenSSL library, and if version 1.0.2 is appropriate, then you can install libssl1.0.2 from Debian 9 and be done with it.
If you need version 1.0 of the openssl tool, or version 1.0.1 of the library, the simplest option on Debian 9 is to install it from Debian 8 (which still receives security updates, and will until 2020). To do so, create a file called /etc/apt/sources.list.d/jessie.list containing the following:
Then run sudo apt update , and apt install openssl/jessie for the openssl tool, or apt install libssl1.0.0 for the library.
Contrary to some people’s claims, you don’t risk breaking your system by installing these packages, thanks to package management and properly-defined package dependencies.
326k 44 44 gold badges 834 834 silver badges 931 931 bronze badges With the risk of major breakage among all packages, as other installed Debian 9 packages will have a dependency on libssl1.1 (>= 1.1.0) . @Patrick, no, because libssl1.0.0 is co-installable with libssl1.1 . I have this exact setup on a couple of systems, one in particular which is used to track the 1.0-to-1.1 transition, and it works fine. TBH I find it rather amusing that you claim this risks breaking other packages, while you recommend recompiling from source in your own answer. I clearly did not wrote things correctly enough if that is your interpretation of my answer. You clearly miss both my intent and my explanation, sorry about that.I do not know if you will find older versions of a software, such as openssl , for newer version of your distribution, as most of the time it will not make sense, as newer versions should fix problems, etc. (they are exceptions of course). Alternatively, why not use Debian 8 directly?
So first you have to really make sure you absolutely need an old version. You do not detail your use case, so hard to give good advises.
What you can always do is install from the sources themselves. but it is not a simple task. The compilation by itself may not be a huge deal, but you need to install it separately from the system part, like in /usr/local and for something typically used as a library by other applications, you need to recompile the other applications to make sure to use your local version instead of the system one. You will have a similar problem if you happen to find an old package that suits your needs: other applications on the system relying on openssl might not work anymore and the software list on your system may be broken.
In short make really absolutely sure without alternatives that you need to do that!
And if you never compiled anything on a Linux system (it will be mostly the same in all distributions), openssl is maybe not the best candidate for first try.
As with other software, start with README that basically tells you to read INSTALL . And it boils down to:
But please make sure to read the file before doing anything as it has important information, like where the software will be installed.
Then you need to be able to use the result in whatever application you need it. but you do not give context of your question, so I can not help you. Often you will need to recompile other software with a flag such as --with-openssl=DIRECTORY to force it to use your version instead of the normal system one.
В дистрибутиве уже утановлен OpenSSL 0.9.8g. Надо обновить до OpenSSL 0.9.8k.
А дальше?
Надо ли удалять OpenSSL 0.9.8g?
ну наверное make; make install
ну это понятно что make, make install
а как удалить, старый, OpenSSL 0.9.8g?
и после установки OpenSSL 0.9.8k сделать так что б все пакеты которым нужен OpenSSL 0.9.8k видели его?
> а как удалить, старый, OpenSSL 0.9.8g?
ты как свою звезду получил?
в Debian-подобных системах пакеты удаляются через
или вместе с теми которые от него зависят
но в данном случае ничего делать не надо — при установке более свежей версии (dpkg -i openssl_0.9.8k-5_amd64.deb) старая деинсталлируется автоматически.так в том то и дело что он не удалился.
$ openssl version OpenSSL 0.9.8g 19 Oct 2007
а полностью лог на удаление можно?
dpkg -P --force-depends openssl; dpkg -i openssl_0.9.8k-5_amd64.deb
на прошлой неделе нужно было поставить клиенту на сервер все то же самое.
у него был дебиан стейбл, я просто добавил анстейбил репы и установил оттуда нужные пакеты.
точно также и в убунте можно поставить.
и не нужно make install'ить ничего категорически, используйте репозитории
а что вы хотите получить от обновлений?
в убунте в g все дырки закрыты, точно также как и в ванильной k
сидите с тем что есть, ничего страшного
Когда я был молодой и глупый, тоже пытался таким методом openssl обновлять. В результате после удаления libopenssl сдох пакетный менеджер :) Еле-еле систему спасти удалось (без загрузки с лайва, что характерно!).
>В дистрибутиве уже утановлен OpenSSL 0.9.8g. Надо обновить до OpenSSL 0.9.8k.
>dpkg -P --force-depends openssl
> а что вы хотите получить от обновлений?
> в убунте в g все дырки закрыты, точно также как и в ванильной k
это оно так и есть, но вот когда требуется что-то собрать и в зависимостях >=OpenSSL 0.9.8k, то проще обновится
в таком случае, для openssl, лучше воспользоваться дистрибутивными бэкпортами или сборкой тем методом , который предусмотрен в дистрибутиве ( dpkg-buildpackage ) , openssl достаточно специфично собираются, и кроме того в debian там не только изменены major-minor для библиотеки, но еще и добавлена таблица версий, ванильная сборка работать будет глючно.
в крайнем случае , для того что у вас не собирается, можно сделать статическую сборку (без динамических билиотек), допустим в prefix /usr/local/openssl , и собирать те пакеты с --with-openssl=/usr/local/openssl
Спасибо всем за инфу.
В порядке бреда местами TLSv1 TLSv1.1 TLSv1.2 не пробовал менять?
Еще меня смущает libssl0.9.8 в выводе.
Radjah ★★★★★ ( 11.09.17 16:17:30 )Последнее исправление: Radjah 11.09.17 16:20:30 (всего исправлений: 1)
Сделай ldd $(which nginx)
Наверняка в выхлопе не будет openssl. То есть openssl к nginx прибит статически.
Так что бери nginx от дистрибутива поновее и ставь его насильно, либо пересобирай из исходников с новой openssl и дальше обновляй его тоже руками.
Последнее исправление: imul 11.09.17 16:53:10 (всего исправлений: 1)
пробовал, вот текущий конфиг, не заводится, пробовал вообще его исключить (TLSv1), тогда сайт перестаёт работать.
Пересобирать nginx с новым openssl?
Ну вот и ответ на твой вопрос. То есть проблема в nginx.
Меняй его. Либо пересобирай с более новой openssl.
Пересобирать nginx с новым openssl?
Может тогда проще из сорсов собрать ssl и nginx и поставить в /opt ?
Ну не в /opt а в /usr/local, но не в этом суть. Штатный nginx в 6-м дебьяне придётся менять и заниматься его поддержкой самостоятельно в любом случае. Сделать это можно разными способами.
Штатный nginx я когда то менял, был совсем старый, поставил 1.8, но и он уже старичёк. Нашёл в закромах nginx более новую версию под Debian 6 - nginx-debug_1.9.2-1
squeeze_amd64.deb стоит экспериментировать, ставить 1.9.2, заработает ли на ней TLS 1.2?
Достань из этого пакета бинарь nginx и скорми его ldd. А дальше уже понятно будет.
Читайте также: