Gå till innehåll
Just nu i M3-nätverket

Uppdatera OpenSSL


xeric

Rekommendera Poster

Vet inte hur det är i Mountain Lion, men Lion kör med en gammal version (redan när den kom) av OpenSSL... och det kan ju vara bra att ha en fräsch(are) version av. :yeahbaby:

 

Sitter o pillar med lite CAcert och skall försöka mecka ihop Mail och S/MIME, och gör ett eget CA med ECC (jmf: RSA, DSA, ECC). Och med 0.9.8x (i Lion) får man bara SHA1 istället för SHA512, även om man spec'at det. https://groups.google.com/forum/#!msg/mailing.openssl.users/RKMKYcSm1dI/kGv2Nl-xbJgJ

 

Jaja, det är inte allt för svårt att uppdatera.

Ta det lungt, håll tungan i rätt mun, och en sak i taget - Enter efter varje

 

Kolla vilken version man har:

openssl version
Ex: OpenSSL 0.9.8......

 

Ladda ner senaste openssl från: https://www.openssl.org/source/

Det står i rött, vilkemn som är senaste (just nu: "openssl-1.0.1e")

 

Flytta filen till lämplig(/valfri) folder - t ex "~/scr", och packa upp den där.

 

Sen kör:

cd ~/src/openssl-1.0.1e

För att den skall kompilera i 64bit måste man lägga til en rad + att för att få det som innan så anger man prefix och var foldern skall vara.

./Configure darwin64-x86_64-cc --prefix=/usr/local --openssldir=/usr/local/openssl
När den kört klart...

make
...och sen:

sudo make install

Kolla i mapparna så allt lagt sig som det skall (/usr/local/opsenssl (mapp) och /usr/localbin/openssl)

 

För att byta upp oss nu... Gör backupp av orginalfilerna och sen symlänka allt på plats igen.

cd /usr/bin/
sudo mv openssl{,.original}
sudo ln -sf /usr/local/bin/openssl .

Den gamla heter nu openssl.orginal, och kör man en koll på versionen igen så skall den visa den nya.

openssl version
OpenSSL 1.0.1e 11 Feb 2013

 

Förutom själva programmet openssl, finns även en mapp. I OS X ligger den: /System/Library/OpenSSL. Så den gör man likadant med så man får nya grejjer. :ThumbsUp:

cd /System/Library/
sudo mv OpenSSL{,.original}
sudo ln -sf /usr/local/openssl OpenSSL
Kolla gärna så allt hamnade på rätt plats osv...

 

 

geek.gifpclaugh.gif

Länk till kommentar
Dela på andra webbplatser

  • 8 months later...

Bumpar tråden lite och påminner om buggen med OpenSSL.

Heartbleed Bug

https://www.openssl.org/news/secadv_20140407.txt

- OpenSSL: The Open Source toolkit for SSL/TLS

 

openssl-1.0.1g.tar.gz

- https://www.openssl.org/source/ (verifiera gärna mot deras md5/sha1/pgp sign)

 

- - -

 

Har just uppdaterat själv och allt gick bra. Har man gjort allt ovanför innan så behöver man bara köra själva installeringen.

 

Men gör görna en backup först av foldern: /usr/local/openssl :crossfingers:

 

- - -

 

Det jag inte skrev i 1'a inlägget var om PATH. Kolla i filen:

~/.bash_profile om/hur PATH ser ut. Finns inte filen är det bara att skapa en. Så lägger man sökvägarna till usr/local/bin (och sbin) i början av PATH.

# export PATH.
export PATH="/usr/local/bin:/usr/local/sbin:$PATH"

Starta om Terminal, eller kör:

. ~/.bash_profile

...så har den läst in filen.

 

För att kolla versionen på den nya:

openssl version

# OpenSSL 1.0.1g 7 Apr 2014
Länk till kommentar
Dela på andra webbplatser

Ollie Williams

"OpenSSL 0.9.8y 5 Feb 2013"

 

 

Kör 10.8.5 och vet inte om guiden funkar för det... Någon som vet?

 

Borde inte Apple komma ut med uppdatering med anledning av det här, typ ganska pronto?

Länk till kommentar
Dela på andra webbplatser

Joel Westerholm

"OpenSSL 0.9.8y 5 Feb 2013"

 

 

Kör 10.8.5 och vet inte om guiden funkar för det... Någon som vet?

 

Borde inte Apple komma ut med uppdatering med anledning av det här, typ ganska pronto?

 

Version 0.9.8y är inte drabbad, problemet introducerades i 1.0.1 och fanns kvar till och med 1.0.1f.

 

Även Mavericks 10.9.2 kör 0.9.8y så jag antar att inga med standardinstallationer av OS X behöver oroa sig för sin egen dator.

Länk till kommentar
Dela på andra webbplatser

Ollie Williams

 

Version 0.9.8y är inte drabbad, problemet introducerades i 1.0.1 och fanns kvar till och med 1.0.1f.

 

Även Mavericks 10.9.2 kör 0.9.8y så jag antar att inga med standardinstallationer av OS X behöver oroa sig för sin egen dator.

 

Ah, jag förstår. Misade nog den delen :) Tack för info!

Länk till kommentar
Dela på andra webbplatser

"OpenSSL 0.9.8y 5 Feb 2013"

 

 

Kör 10.8.5 och vet inte om guiden funkar för det... Någon som vet?

 

Borde inte Apple komma ut med uppdatering med anledning av det här, typ ganska pronto?

Som Joel sa, och som det står på sidan:

 

What versions of the OpenSSL are affected?

Status of different versions:

  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

 

http://heartbleed.com/

På Lion är det 0.9.8x original. Men OpenSSL är en av de grejjer jag har uppdaterat på mitt system, så jag hade 1.0.1e. Fast nu är det "1.0.1g". ^_^

Länk till kommentar
Dela på andra webbplatser

  • 1 month later...

"OpenSSL 0.9.8y 5 Feb 2013"

 

 

Kör 10.8.5 och vet inte om guiden funkar för det... Någon som vet?

 

Borde inte Apple komma ut med uppdatering med anledning av det här, typ ganska pronto?

Version 0.9.8y är inte drabbad, problemet introducerades i 1.0.1 och fanns kvar till och med 1.0.1f.

 

Även Mavericks 10.9.2 kör 0.9.8y så jag antar att inga med standardinstallationer av OS X behöver oroa sig för sin egen dator.

 

De har hittat nya fler buggar, som de patchat nu. Bugg(arna) finns/fanns i alla verisoner: https://www.openssl.org/news/secadv_20140605.txt [5/6 -14]

 

 

Antar att folk vaknade till efter Heartbleed och har granskat koden ännu hårdare sen dess.

Länk till kommentar
Dela på andra webbplatser

Ollie Williams

Hittade den här för ett tag sedan =)

 

heartbleed_explanation.png

Länk till kommentar
Dela på andra webbplatser

  • 1 month later...

OpenSSL 1.0.1i

Ny uppdatering kom förrgår: https://www.openssl.org/news/secadv_20140806.txt

OpenSSL 0.9.8 users should upgrade to 0.9.8zb
OpenSSL 1.0.0 users should upgrade to 1.0.0n.
OpenSSL 1.0.1 users should upgrade to 1.0.1i.


Man kan ju uppgradera själv till senaste (1.0.1i) även om man ligger på 0.9.8-1.0.0.



Glöm inte att även uppgradera (omkompilera) OpenSSH om/när man uppgraderar OpenSSL. SSH använder delar av OpenSSL. ...så man iinte får skiftande versioner.

Exempel:

$ openssl version
OpenSSL 1.0.1i 6 Aug 2014

$ ssh -V
OpenSSH_6.6p1, OpenSSL 1.0.1h 5 Jun 2014


Tänkte jag skulle skriva en (ny) guide som omfattar båda, om ngn vill/är intresserad.

Länk till kommentar
Dela på andra webbplatser

  • 2 months later...

Poodle ^_^
Google's säk.avd. hittade visst en bug som de kallar “Poodle” »»


OpenSSL 1.0.1j
Ny uppdatering kom idag: https://www.openssl.org/news/secadv_20141015.txt

OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.


Så får man väl hoppas att Apple är lite snabbare denna gången. Man behöver nog inte vara jätteorolig, och många sidor verkar ha stängt av SSL 3.0, så länge. :crossfingers:

Länk till kommentar
Dela på andra webbplatser

  • 2 months later...
  • 4 weeks later...

Det kom en ny (skarp) version av OpenSSL den 22 Jan:
openssl-1.0.2 - http://www.openssl.org/source/

Man får väl se när/om OS X hoppar upp till den, men de brukar inte vara så jättesnabba. :fundersam:


Så vill man ha senaste fr man nog uppdatera själv (alt installera med MacPorts, Homebrew, Fink).

- - -

[notis] Om man installerar (»») en egen version och t ex anv “no-ssl2” &/el “no-ssl3” i konfigurationen så måste man köra en “makedepend” efteråt - vilket inte finns i OS X.

Lösning
Kör konfigureringen som vanligt. Exempel:

export KERNEL_BITS=64
./Configure darwin64-x86_64-cc shared no-ssl2 no-ssl3 --prefix=/usr/local --openssldir=/usr/local/openssl

Här kommer uppmaningen om att köra “makedepend”...

Öppna filen “Makefile” i foldern och nere vid rad ≈ 75 ... ändra raden med “MAKEDEPPROG” till:

#MAKEDEPPROG=makedepend
MAKEDEPPROG=$(CC) -M

från: http://openssl.6102.n7.nabble.com/OpenSSL-1-0-1c-Mac-OS-X-no-XXX-and-missing-make-depend-td42920.html


Därefter kör “makedepend” och sen vidare som vanligt:

makedepend

make
sudo make install


Läs mer om installation: http://wiki.openssl.org/index.php/Compilation_and_Installation

- - -

Xtra: Om man konfigurerar med “no-ssl2” &/el “no-ssl3”, kan man testa det sen: http://wiki.openssl.org/index.php/Compilation_and_Installation#Compile_Time_Checking

Här är ett litet testprogram för det.

 

//
// File:        test_sslv23.c
//
// Desrciption: To see openssl is configured with "no-ssl2" &/or "no-ssl3"
//

#include <iostream>
#include <openssl/opensslconf.h>

using namespace std;

int main() {

#if defined(OPENSSL_NO_SSL2)
	std::cout << "SSLv2 is disabled" << std::endl;
#else
	std::cout << "SSLv2 is available" << std::endl;
#endif

#if defined(OPENSSL_NO_SSL3)
	std::cout << "SSLv3 is disabled" << std::endl;
#else
	std::cout << "SSLv3 is available" << std::endl;
#endif

    return 0;
}

/*

# Compile
$ g++ test_sslv23.c -o test_sslv23

# Run
$ ./test_sslv23

*/


Ex:

# kompilera
g++ test_sslv23.c -o test_sslv23

# kör
./test_sslv23

# Visar t ex
SSLv2 is available
SSLv3 is disabled

Det går såklart att anv/testa/köra även om man inte kör in en ny version ... bara om man vill tex testa ifall man har det el inte..

 

Länk till kommentar
Dela på andra webbplatser

  • 10 months later...

https://openssl.org/news/secadv/20151203.txt

Nya versioner/uppdateringar. :yeahbaby:


I liten observation...


NOTE: WE ANTICIPATE THAT 1.0.0t AND 0.9.8zh WILL BE THE LAST RELEASES FOR THE
0.9.8 AND 1.0.0 VERSIONS AND THAT NO MORE SECURITY FIXES WILL BE PROVIDED
(AS
PER PREVIOUS ANNOUNCEMENTS). USERS ARE ADVISED TO UPGRADE TO LATER VERSIONS.

// ... //

As per our previous announcements and our Release Strategy
(https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions
1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these
versions will be provided after that date. In the absence of significant
security issues being identified prior to that date, the 1.0.0t and 0.9.8zh
releases will be the last for those versions. Users of these versions are
advised to upgrade.

Alla OS X kör väl på 0.9.8-serien? Eller ligger ngn av de senare på en nyare? Ja, de lär väl får byta upp sig till nästa uppdatering då, el om de kanske byter till LibreSSL? (OpenBSD's fork av OpenSSL)

Länk till kommentar
Dela på andra webbplatser

https://openssl.org/news/secadv/20151203.txt

 

Nya versioner/uppdateringar. :yeahbaby:

 

 

I liten observation...

Alla OS X kör väl på 0.9.8-serien? Eller ligger ngn av de senare på en nyare? Ja, de lär väl får byta upp sig till nästa uppdatering då, el om de kanske byter till LibreSSL? (OpenBSD's fork av OpenSSL)

El Capitan 10.11.1:

OpenSSL 0.9.8zg 14 July 2015
Länk till kommentar
Dela på andra webbplatser

El Capitan 10.11.1:

OpenSSL 0.9.8zg 14 July 2015

Tack... Ja, det lär nog komma en (säk-)uppdatering snart. :crossfingers: Undra om de kommer hoppa upp till 1.0.1 el 1.0.2 redan nu, el vänta till nästa gång.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.



×
×
  • Skapa nytt...