Tag: openssl

为什么Trusty没有收到OpenSSL的CVE-2016-2108和CVE-2016-2107的更新？: OpenSSL发布了一个安全公告，警告用户最近发现的两个漏洞： ASN.1编码器中的内存损坏（CVE-2016-2108）在AES-NI CBC MAC检查中填充oracle（CVE-2016-2107）他们的建议如下： OpenSSL 1.0.2用户应该升级到1.0.2h OpenSSL 1.0.1用户应该升级到1.0.1t 但是，Trusty（14.04）的最新版本是1.0.1f-1ubuntu2.19 。为什么还提供这样一个旧版本，我该如何缓解这个问题呢？

在Ubuntu 14.04的OpenSSL中启用了哪些TLS协议？: 这是Override Distro Package with Custom Package的后续跟进？。有谁知道Ubuntu 14.04的OpenSSL是否支持所有TLS协议（TLS1.0，TLS1.1和TLS1.2）？或者它是否像以前的版本一样禁用了协议（TLS1.1和TLS1.2）？相关：如何检查这类事情？编辑：这不是错误报告问题; 也不是开发人员的问题。你们把“关闭作为错误报告”放得太远了。

在ubuntu 12.04上修补OpenSSL CVE-2014-0160？: 不，这不是如何在OpenSSL中修补Heartbleed错误（CVE-2014-0160）的副本？。所以，请继续阅读。我看到有关Ubuntu 12.04的相互矛盾的信息： Heartbleed页面声称Ubuntu 12.04受到影响，需要修补1.0.1g Ubuntu安全通知USN-2165-1声称包libssl1.0.0版本libssl1.0.0应该解决Ubuntu 12.04上的问题。现在我安装了这些软件包： # dpkg -l | grep ssl ii libssl1.0.0 1.0.1-4ubuntu5.10 SSL shared libraries ii openssl 1.0.1-4ubuntu5.10 Secure Socket Layer (SSL) binary and related cryptographic tools # lsb_release -a | grep -i description Description: Ubuntu 12.04.3 LTS 所以，如果我考虑以上两点，我不确定哪一个是真的。此外，这个Heartbleed测试页面说我的机器很脆弱。有没有人能够在Ubuntu 12.04上成功解决这个问题？如果是，那么你可以告诉我你采取的步骤吗？

在MySQL中启用SSL: 我正在运行Ubuntu Server 12.04，我想启用到MySQL的SSL连接。我用OpenSSL生成了以下密钥/证书文件： CA-cert.pem 服务器cert.pem 服务器key.pem 我将这些存储在/etc/mysql ，然后添加了以下行添加到/etc/mysql/my.cnf ： ssl-ca=/etc/mysql/ca-cert.pem ssl-cert=/etc/mysql/server-cert.pem ssl-key=/etc/mysql/server-key.pem 接下来，我用sudo service restart mysql重新启动服务器。但是，这似乎不启用SSL。在mysql会话中： mysql> show variables like ‘%ssl%’; +—————+—————————-+ | Variable_name | Value | +—————+—————————-+ | have_openssl | DISABLED | | have_ssl | DISABLED | | ssl_ca | /etc/mysql/ca-cert.pem | | ssl_capath | | | ssl_cert | /etc/mysql/server-cert.pem | […]

使用自定义包覆盖Distro包？: Ubuntu 12.04 LTS提供OpenSSL 1.0.1e，但它禁用TLSv1.1和TLSv1.2。在过去，由于客户端实施的破坏，它是一个互操作决策。在2014年，它真的不合适，因为客户有时间来解决他们的坏事。任何剩余的破碎客户都会对大多数符合条件的客户进行处罚。我想提供相同版本的OpenSSL 1.0.1e，但我想提供[当前]禁用的协议。我知道我可以创建个人包存档（PPA），但如果我可以使用它来覆盖Ubuntu基础包，我不清楚它。（我也意识到静态链接的客户不会受益于改进的包装）。如何为Ubuntu中的特定包提供覆盖？

在Ubuntu 12.04上升级OpenSSL: 我想在Ubuntu 12.04系统上将OpenSSL升级到1.0.1。我注意到apt-get upgrade openssl并没有最终升级OpenSSL。 Ubuntu是否支持更新的OpenSSL？我也尝试过从源代码编译。编译工作但我无法找到如何用较新的（1.0.1）替换内置的OpenSSL（1.0.0）。从源代码编译得到我的新版本与旧版本一起使用 – 我需要用较新版本替换旧版本。我需要的原因是使用更新的版本编译FreeSWITCH，因为最新的FreeSWITCH源与OpenSSL 1.0.0不兼容，并且FreeSWITCH中似乎没有make配置指向新OpenSSL的路径。（所以它固执地继续使用旧版本并且无法工作！）谢谢你的提前。任何帮助将不胜感激。

在OpenSSL中生成证书的SSLv3错误: 我用最新的Ubuntu OS和OpenSSL生成了自签名证书。证书有RSA 4096和SHA512 ……但是它使用SSLv3并且从mozilla我无法访问网页，因为Mozilla不再支持SSLv3了。我如何生成证书。使用TLS？

更新到14.04后，OpenSSL仍然容易受到攻击: 我们有一台运行OpenVPN的AWS服务器，它是使用Ubuntu 13.10构建的。在宣布Heartbleed漏洞后，我们更新了服务器。今天早上，我们将服务器升级到14.04。 “openssl version -a”的当前输出是： OpenSSL 1.0.1f 6 Jan 2014 built on: Mon Apr 7 21:22:23 UTC 2014 platform: debian-amd64 options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector –param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,–noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM […]

如何修补OpenSSL中的Heartbleed错误（CVE-2014-0160）？: 截至今天，已发现OpenSSL中的一个错误影响版本1.0.1到1.0.1f （包括）和1.0.2-beta 。从Ubuntu 12.04开始，我们都容易受到这个bug的攻击。为了修补此漏洞，受影响的用户应更新到OpenSSL 1.0.1g 。现在每个受影响的用户如何应用此更新？