OpenSSL の重大バグ

PUPPYアプリケーションパッケージ、PETやSFSなどのトラブル

モデレータ: 暇人, YoN, nyu

アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

openssl.cnf

投稿記事 by シノバー »

ふうせん Fu-sen. さんが書きました:hiawatha 用の OpenSSL……それでしょうね。

でも、これでも openssl.cnf の値を必要とする操作を行っているかどうかが疑問です。
おそらくそのような事を行う可能性はないでしょう。
あれば手動生成なので、/usr/bin/openssl を使うはずです。
openssl.cnf の値は主に実行ファイルが使用します。
openssl.cnf を hiawatha が使うはずは無く、これを使うのは /usr/bin/openssl のはずということなら、openssl.cnf は更新すべきなんでしょうね。
/usr/bin/openssl は新バージョンですから。

まず事実関係だけ述べます。

1. たとえば Precise Puppy では /usr/bin/openssl は新バージョンですが、openssl.cnf は旧バージョンです。
これは Barryさんが意図して行っているふしがあります。
というのは、彼の開発するパピー生成システム woof2で openssl.cnf は旧バージョン由来のものに固定されています。
これは woof-CEでも変更されておらず、 Slacko-5.7 でも OpenSSL周りは同じです(新旧2バージョンが同居していること、/user/bin/opensslは新バージョンだが、openssl.cnf は旧バージョン由来であること)。

2. Precise Puppy 5.7.1 リリース時に組み込みの /usr/bin/openssl は Ubuntu パッケージ openssl_1.0.1-4ubuntu5.9_i386.deb から採られています。ただし openssl.cnf は別の旧バージョンからのものに差し替えられています。

3. /usr/bin/openssl 、openssl.cnf に関し今回Ubuntuから出た修正パッケージは openssl_1.0.1-4ubuntu5.12_i386.deb です。
openssl_1.0.1-4ubuntu5.9_i386.deb と openssl_1.0.1-4ubuntu5.12_i386.deb の内容を比較すると、タイムスタンプを除いてはまったく同じです。/usr/bin/openssl も、openssl.cnf も、まったく同じです。

以上の事実からの私の考察です。
openssl.cnf を更新するかどうかは、今回の heatbleed 脆弱性の問題と直接的な関係なく、
/usr/bin/openssl に新バージョンを採用しながら openssl.cnf は旧バージョン由来のものに固定している、
Barryさんの処置を間違いと判断するかどうかではないかと。
最後に編集したユーザー シノバー [ 14/04/11(金) 20:43 ], 累計 1 回
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

うむ。これは本家で確認した方が良さそうですね。シノバーさんの考えは分かりました。

この件、投稿しました:
http://murga-linux.com/puppy/viewtopic. ... 594#770594
最後に編集したユーザー ふうせん Fu-sen. [ 14/04/11(金) 17:51 ], 累計 1 回
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

日本語版では公開されていませんが、Slacko も対象になっています。
Slacko も Precise と同じ手順でパッケージマネージャから更新可能な事を確認済みです。
ただし UI が違います。Uninstall の右にあるアイコンが「今すぐ更新」を含む設定画面です。
パッケージは openssl-1.0.1g openssl-solibs-1.0.1g の2つになります。

パッケージ名で分かる通り、最新版 1.0.1g に更新されます。openssl version は下記の通りです。

コード: 全て選択

# openssl version
OpenSSL 1.0.1g 7 Apr 2014
# openssl version -b
built on: Tue Apr  8 09:00:45 CDT 2014
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

openssl.cnf

投稿記事 by シノバー »

ふうせん Fu-sen. さんが書きました:うむ。これは本家で確認した方が良さそうですね。シノバーさんの考えは分かりました。

この件、投稿しました:
http://murga-linux.com/puppy/viewtopic. ... 594#770594
お世話さまです。日本人は細かいよと、いうところを見せたかも。
そいうより、この細かな芸は Barryさんが仕込んだことなので、Barryさんが出てこなければ誰も分からないかもですね。
The bar master, Shino's Bar
http://shinobar.net/
486HA
記事: 1142
登録日時: 11/03/06(日) 14:31

Re: OpenSSL の重大バグ

投稿記事 by 486HA »

ふうせん Fu-sen. さんが書きました:日本語版では公開されていませんが、Slacko も対象になっています。
 Slacko-5.7.0/5.7_4g 日本語化版では更新済みです。
viewtopic.php?f=27&t=2566

なお、OpenSSL Heartbleed 脆弱性について、
具体的な解説はをご覧ください。
http://d.hatena.ne.jp/nekoruri/20140408/heartbleed
CORE-i7-6700HQ uEFI ram:8GB
Full: Quirky Beaver64-8.7.1(64)
save2dir: Artfulpup-17.11,Dpup-7.5,Xenialpup 7.0.8.1(32)
Slimjet 21.0.8.0(32/64)
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

まだ openssl.cnf の扱いが本家フォーラムで討論中なので、それを確定させてからでも良いのですが、
パッケージを更新する事をしない人も少なくないので、
公式に OpenSSL を更新した .iso 配布も必要なのかな〜と思っていました。 :roll:
本当はオリジナルも促さないといけないところなのですが……
どうでしょうねぇ?
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

シノバーさんの本家書き込みをみて、一つ注意書きを促しておきます。

Upup raring は OpenSSL の問題が発生していますが、
Ubuntu から更新パッケージが提供されません。

なぜか?というと、ベースとなっている Ubuntu 13.04 Raring Ring は
今年(2014年)1月でパッケージ更新を終了させています。
(13.04 から LTS 以外はサポート期間が 9ヶ月になりました。)
そのため、継続利用するなら、独自にソースからビルドする等で対応が必要です。
正式版ではないので、利用者は少ないと思いますが、もし利用されていたら、
今後パッケージ更新されないので、セキュリティ面も考えて利用を止める事をおすすめします。

これで悲鳴をあげているディストリビューションを見かけてます。 :(
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
シノバー
記事: 3139
登録日時: 09/03/21(土) 00:05
連絡する:

修正PET

投稿記事 by シノバー »

Raringの件、ありがとうございます。
ふうせん Fu-sen. さんが書きました:公式に OpenSSL を更新した .iso 配布も必要なのかな〜と思っていました。 :roll:
まずは修正PETを。さきの libssl-fix-1.0.1-4ubuntu5.12.pet の 2つのファイルに openssl.cnf を加えたものを用意しました。
openssl-fix-1.0.1-4ubuntu5.12.pet

/lib 以下の2つは libssl1.0.0_1.0.1-4ubuntu5.12_i386.deb から
/etc/ssl/openssl.cnf は openssl_1.0.1-4ubuntu5.12_i386.deb から
それぞれ抽出したものです。

2014-06-10 追記:
最新の修正PETがアップされました。上記PETは必要ありません。 viewtopic.php?f=35&t=2581&start=45#p19823
openssl-fix-1.0.1-4ubuntu5.14-libssl0.9.8k-7ubuntu8.18.pet
http://shino.pos.to/party/bridge.cgi?pu ... se/update/
最後に編集したユーザー シノバー [ 14/06/10(火) 09:09 ], 累計 2 回
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

シノバーさん、ありがとうございます〜。 :D 早速拡散です〜。 :lol:
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

公式としては SourceForge.JP のプロジェクトページで、概要に含めました。
ダウンロードページでも表示されます。目立つところに。
https://sourceforge.jp/projects/puppylinux-jp/

その他、Twitter で Precise-571JP の案内と一緒に数日前から随時投稿中。
https://twitter.com/puppy_linux_jp/stat ... 8036918273

Facebook ページも改めて発信中。一番上で固定させてます。
https://www.facebook.com/puppylinuxjp/p ... 5296278418
グループでも案内済みです。あとは自分のサイトでもトップページで掲載中です。

Web サイトでも案内して良い内容だと思うのですが、
過去セキュリティ問題で更新を促す案内を行った事がないんですよね。
これをどうしようかなぁ〜と…… :roll:
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
ラジオ
記事: 23
登録日時: 14/04/13(日) 11:06

Re: OpenSSL の重大バグ

投稿記事 by ラジオ »

初めまして。
突然割り込んですいません。 ラジオと言うものです。
OpenSSLの対策は充分できているようですが、インターネットに、
接続してはいるがこのことを知らない人もいるはずです。
また、Slackoを使っている人も対象という事で、
結構な人数が対象になります。
不特定多数の人が使っているので、ひとりひとりまで
きちんと知らせるのはとても難しいと思います。
割り込んですいません。
Have a good "Puppy Linux" life!!
486HA
記事: 1142
登録日時: 11/03/06(日) 14:31

Re: OpenSSL の重大バグ

投稿記事 by 486HA »

ラジオ さんが書きました: また、Slackoを使っている人も対象という事で、
結構な人数が対象になります。
 最新の Slacko 5.7/5.7.0ではUpdate Managerでダウンロード出来るように対応済です。
拙作の日本語化版では既に対応済です。
viewtopic.php?f=27&t=2355
 と言っても、openSSLを利用していなければ敢えてアップデートしたり騒ぎ立てる必要はないと思います。
CORE-i7-6700HQ uEFI ram:8GB
Full: Quirky Beaver64-8.7.1(64)
save2dir: Artfulpup-17.11,Dpup-7.5,Xenialpup 7.0.8.1(32)
Slimjet 21.0.8.0(32/64)
アバター
ラジオ
記事: 23
登録日時: 14/04/13(日) 11:06

Re: OpenSSL の重大バグ

投稿記事 by ラジオ »

実際に被害が無ければ良いですね。
どこだかの銀行は個人情報を漏らしてしまったとか。
Have a good "Puppy Linux" life!!
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

Ubuntu 12.04 Precise パッケージが 1.0.1-4ubuntu5.13 に更新されています。
これは Precise-571JP・550JP でも導入可能です。下記の手順で行って下さい。

viewtopic.php?t=2581&start=15

この投稿で話題にしているのとは異なるセキュリティ問題の更新です。重要度=中。
1.0.1g も対象のようですが、OpenSSL そのものはまだ更新されていません。
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: OpenSSL の重大バグ

投稿記事 by ふうせん Fu-sen. »

OpenSSL が昨日(2014/06/05)から、多くの Linux・BSD 等で一斉更新されています。
4 月と異なり 1.0.1 だけではなく 1.0.0、0.9.8 も更新対象で
OpenSSL そのものの更新は 1.0.1h / 1.0.0m / 0.9.8za です。

http://www.openssl.org/


ここから特に Puppy Linux に影響があるパッケージです。
Precise-5.7.1 / 5.5.0 に関係する Ubuntu パッケージは 1.0.1-4ubuntu5.14 です。

http://packages.ubuntu.com/precise/openssl

lupu-5.2.8 に関係する Lucid も Ubuntu パッケージが更新されています。 0.9.8k-7ubuntu8.18 です。

http://packages.ubuntu.com/lucid/openssl

注:
Ubuntu パッケージの更新として Lucid の期限はデスクトップ 3 年、サーバが 5 年です。
OpenSSL はサーバ利用もあるので更新されています。2015年4月までは更新があります。


Slacko に関係する Slackware 14.0 は 1.0.1h-i486-1 に更新されています。

http://www.slackware.com/security/viewe ... ity.746956

Dpup Wheezy などに関係する Debian 7 Wheezy は 1.0.1e-2+deb7u10 に更新されています。

https://packages.debian.org/ja/wheezy/openssl


Precise-571JP を元にしたパッケージの更新方法は下記の通り。
なお、過去に OpenSSL パッケージをいれている場合はパッケージマネージャを起動した後、
右下の「インストール済みパッケージ」から openssl(および libssl)を削除し、
そのあと最新版のインストールを行って下さい。
viewtopic.php?f=35&t=2581&start=15#p19155

ただし、4 月に比べて Puppy に大きな影響があるかどうかは疑問なので、
.pet 化する事を検討しなければいけないかどうかまでは悩ましいところです。
Puppy 4 も影響ありますが、これのパッケージも含めてですね……
ふうせん Fu-sen. ( old: 2 8 6 )
返信する