[FUG-BR] OpenSSL vulnerabilidade
Rodrigo Simões
rodrigo em bestcorp.com.br
Domingo Junho 14 11:16:47 BRT 2015
Bom dia a todos!
Aproveitando: alguém notou problemas no Sendmail (falha TLS) após o update que corrige o OpenSSL?
> Em 13/06/2015, à(s) 18:16, Renato Botelho <rbgarga em gmail.com> escreveu:
>
>> On Jun 13, 2015, at 15:24, Vinícius Zavam <egypcio em googlemail.com> wrote:
>>
>> 2015-06-13 10:12 GMT-03:00 Patrick Müller <patrickmuller18 em gmail.com>:
>>
>>> Bom, para resolver o primeiro problema, além de atualizar o sistema está
>>> sendo aconselhando usar esses passos https://weakdh.org/sysadmin.html
>>>
>>> E estou pensando em aplicar essa customização no ssh.
>>> https://jbeekman.nl/blog/2015/05/ssh-logjam/
>>>
>>> Mesmo após a atualização, acho válido aplicar essas configurações de
>>> segurança
>>>
>>> Para testar a solução proposta. https://www.ssllabs.com/ssltest/
>>>
>>> 2015-06-13 0:11 GMT-03:00 Renato Botelho <rbgarga em gmail.com>:
>>>
>>>>> On Jun 12, 2015, at 21:56, Paulo Olivier Cavalcanti <
>>>> procavalcanti em gmail.com> wrote:
>>>>>
>>>>> On 12/06/2015 22:21, Renato Botelho wrote:
>>>>>>> On Jun 12, 2015, at 19:37, Paulo Olivier Cavalcanti <
>>>> procavalcanti em gmail.com> wrote:
>>>>>>>
>>>>>>> On 12/06/2015 08:21, Nilton Jose Rizzo wrote:
>>>>>>>> https://www.openssl.org/news/secadv_20150611.txt
>>>>>>>>
>>>>>>> Como substituir o openssl da base pelo do port?
>>>>>> Não existe essa opção no port.
>>>>>>
>>>>>> Só de curiosidade, qual seria a razão?
>>>>>>
>>>>>
>>>>> A razão seria usar uma versão sem vulnerabilidades.
>>>>>
>>>>> Com o ntpd é possível selecionar, através de uma flag, o bin do port ou
>>>> o bin da base. Eu queria saber se é possível fazer o mesmo com o openssl.
>>>>>
>>>>> Mas já vi que tanto a versão da base do FreeBSD 9.3 (0.9.8.za) quanto
>>> a
>>>> do port (1.0.2a) estão vulneráveis, então tanto faz. O jeito é esperar a
>>>> atualização.
>>>>
>>>> A atualização da base já saiu na noite passada -
>>>> https://www.freebsd.org/security/advisories/FreeBSD-SA-15:10.openssl.asc
>>>>
>>>> --
>>>> Renato Botelho
>>>
>>
>> # /etc/make.conf
>> #
>> PORTS_SSL=yes
>
> De onde vem essa opção? dei um grep no /usr/src e não a encontrei. Talvez isso seja específico para algum port?
>
>> OPENSSL_PORT=security/libressl
>> WITH_OPENSSL_PORT=yes
>
> Essa opção diz para os ports usarem o openssl do ports ao invés do da base, o que o Paulo tava querendo era substituir o openssl da base pelo do ports.
>
> --
> Renato Botelho
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd