freeradius отказывается запускаться, потому что он говорит, что OpenSSL уязвим
Я работаю с Ubuntu 14.04, и я не могу запустить freeradius deamon (freeradius-server-3.0.9). У меня есть эта ошибка, которую я не могу решить:
Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set
security.allow_vulnerable_openssl = 'CVE-2014-0160'
dpkg -l | grep openssl
ii libgnutls-openssl27:i386 2.12.23-12ubuntu2.2 i386 GNU TLS library - OpenSSL wrapper
ii openssl 1.0.1f-1ubuntu2.15 i386 Secure Sockets Layer toolkit - cryptographic utility
ii python-openssl 0.13-2ubuntu6 i386 Python 2 wrapper around the OpenSSL library
apt-cache policy freeradius
freeradius:
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages
apt-cache policy libssl1.0.0:i386
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages
2 ответа
Что freeradius делает, по-видимому, обнаруживает просто на строке версии, возвращенной OpenSSL на ОС. К сожалению, та строка версии НЕ принимает во внимание Ubuntu или числа пересмотра Debian.
обновления системы защиты Ubuntu обычно помещаются на пути -#ubuntu# запись журнала изменений стиля в пакете и пакетах для установки, которые имеют обновления системы защиты, происходят из RELEASE-security репозиторий, где RELEASE кодовое название версии Ubuntu, Вы идете.
из-за этого, мы должны исследовать определенный CVE и проверить средство отслеживания Службы безопасности Ubuntu CVE. страница, детализирующая Heartbleed CVE (CVE-2014-0160) в средстве отслеживания Службы безопасности Ubuntu , указывает, что следующие версии имели патчи, примененные для устранения проблемы OpenSSL Heartbleed:
- Точный: Зафиксированный в пакете
opensslНадежный человек версии пакета1.0.1-4ubuntu5.12 - : Зафиксированный в пакете
opensslверсия пакета1.0.1f-1ubuntu2
, Если Вы вытянули во всех обновлениях OpenSSL из репозиториев безопасности и имеете по крайней мере 1.0.1f-1ubuntu2 из установленных OpenSSL (и Ваша предоставленная информация говорит, что 1.0.1f-1ubuntu2.15 установлен), Вы будете в порядке.
Обеспеченный вышеупомянутые соответствия Ваш случай, затем можно следовать инструкциям, которые сообщение об ошибке предоставляет Вам, и помещенный в место эта строка, вероятно, как часть конфигурационных файлов: security.allow_vulnerable_openssl = 'CVE-2014-0160'
Это незначительное продолжение на ответ "Thomas Ward".
файл конфигурации для редактирования:
radiusd.conf
и редактирование:
security {
[...]
#allow_vulnerable_openssl = no
allow_vulnerable_openssl = 'CVE-2016-6304'
}