[FUG-BR] OpenSSL vulnerabilidade

Renato Botelho rbgarga em gmail.com
Sábado Junho 13 18:16:21 BRT 2015


> On Jun 13, 2015, at 15:24, Vinícius Zavam <egypcio at googlemail.com> wrote:
> 
> 2015-06-13 10:12 GMT-03:00 Patrick Müller <patrickmuller18 at gmail.com>:
> 
>> Bom, para resolver o primeiro problema, além de atualizar o sistema está
>> sendo aconselhando usar esses passos https://weakdh.org/sysadmin.html
>> 
>> E estou pensando em aplicar essa customização no ssh.
>> https://jbeekman.nl/blog/2015/05/ssh-logjam/
>> 
>> Mesmo após a atualização, acho válido aplicar essas configurações de
>> segurança
>> 
>> Para testar a solução proposta. https://www.ssllabs.com/ssltest/
>> 
>> 2015-06-13 0:11 GMT-03:00 Renato Botelho <rbgarga at gmail.com>:
>> 
>>>> On Jun 12, 2015, at 21:56, Paulo Olivier Cavalcanti <
>>> procavalcanti at gmail.com> wrote:
>>>> 
>>>> On 12/06/2015 22:21, Renato Botelho wrote:
>>>>>> On Jun 12, 2015, at 19:37, Paulo Olivier Cavalcanti <
>>> procavalcanti at gmail.com> wrote:
>>>>>> 
>>>>>> On 12/06/2015 08:21, Nilton Jose Rizzo wrote:
>>>>>>> https://www.openssl.org/news/secadv_20150611.txt
>>>>>>> 
>>>>>> Como substituir o openssl da base pelo do port?
>>>>> Não existe essa opção no port.
>>>>> 
>>>>> Só de curiosidade, qual seria a razão?
>>>>> 
>>>> 
>>>> A razão seria usar uma versão sem vulnerabilidades.
>>>> 
>>>> Com o ntpd é possível selecionar, através de uma flag, o bin do port ou
>>> o bin da base. Eu queria saber se é possível fazer o mesmo com o openssl.
>>>> 
>>>> Mas já vi que tanto a versão da base do FreeBSD 9.3 (0.9.8.za) quanto
>> a
>>> do port (1.0.2a) estão vulneráveis, então tanto faz. O jeito é esperar a
>>> atualização.
>>> 
>>> A atualização da base já saiu na noite passada -
>>> https://www.freebsd.org/security/advisories/FreeBSD-SA-15:10.openssl.asc
>>> 
>>> --
>>> Renato Botelho
>> 
> 
> # /etc/make.conf
> #
> PORTS_SSL=yes

De onde vem essa opção? dei um grep no /usr/src e não a encontrei. Talvez isso seja específico para algum port?

> OPENSSL_PORT=security/libressl
> WITH_OPENSSL_PORT=yes

Essa opção diz para os ports usarem o openssl do ports ao invés do da base, o que o Paulo tava querendo era substituir o openssl da base pelo do ports.

--
Renato Botelho



Mais detalhes sobre a lista de discussão freebsd