Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
На этот форум и wiki ведут ссылки с официальных сайтов Mageia.
У форума нет нигде и никаких чатов, wiki пока не работает (в процессе подключения), идёт небольшая реорганизация.Форум закрывается, подробности в теме «Реорганизация форума».
Mageia Russian Community Forum → Системное администрирование → OpenSSL 1.0.1g
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Обновил, на всякий случай. Вдруг у кого крутится apache, nginx и вдобавок 443 порт юзают. Дырка все таки заметная.
Да для того же тора будет полезно.
Для тех кто не в теме про найденную уязвимость в OpenSSL 1.0.1[abcdef]:
http://linuxforum.ru/viewtopic.php?id=34509
Я так понял, что только я юзаю офф. обновления, да? Иначе зачем было дублировать работу майнтейнеров из магеи?
http://svnweb.mageia.org/packages?view= … ion=612763 (mga4)
http://svnweb.mageia.org/packages?view= … ion=612764 (mga3)
И полные логи изменений пакета openssl:
mga4: http://svnweb.mageia.org/packages/updat … c?view=log
mga3: http://svnweb.mageia.org/packages/updat … c?view=log
Из них видно, что исправили еще и CVE-2010-5298. Но те, кто поставит пакет из нашей репы, этого (и последующих) обновления уже не получит.
olelukoie, А чего они версию не поменяли? От куда обычный пользователь знает, что маинтейнеры наложили патч, а страшную версию OpenSSL 1.0.1e оставили?
Я просто долго ждал что прилетит обновление, но ничего не дождался. Оно прилетало?
olelukoie, А чего они версию не поменяли? От куда обычный пользователь знает, что маинтейнеры наложили патч, а страшную версию OpenSSL 1.0.1e оставили?
Я просто долго ждал что прилетит обновление, но ничего не дождался. Оно прилетало?
Да, прилетало. Возможно, оно лежит в updates_testing, у меня эта репа тоже подключена.
Версия пакета почти никогда не меняется, если это не бэкпорт. Все исправления добавляются в виде патчей на уже имеющеюся версию. Особенно если это патчи, касающиеся безопасности. Исключений из этого правила очень мало и большая часть из них - это либо очень большие и сложные пакеты типа ядра или FF, либо пользовательские проги, от поломки которых ничего не зависит, кроме самой этой проги.
olelukoie, Ок. Просмотрел SRC пакет еще раз. Лежит пакет в Updates и там действительно есть патч для CVE-2014-0160. Толи он вчера прилетел, толи в котелке лежит старый 
Буду свой с MRC убирать.
# (gb) 0.9.7b-4mdk: Handle RPM_OPT_FLAGS in Configure
Patch2: openssl-1.0.1c-optflags.patch
# (oe) support Brazilian Government OTHERNAME X509v3 field (#14158)
# http://www.iti.gov.br/resolucoes/RESOLU__O_13_DE_26_04_2002.PDF
Patch6: openssl-0.9.8-beta6-icpbrasil.diff
# http://qa.mandriva.com/show_bug.cgi?id=32621
Patch15: openssl-0.9.8e-crt.patch
# upstream patches
Patch8: openssl.git-147dbb2fe3bead7a10e2f280261b661ce7af7adc.patch
Patch9: openssl-1.0.1e-cve-2013-4353.patch
Patch10: openssl-1.0.1e-cve-2013-6450.patch
Patch11: openssl-1.0.0l-CVE-2014-0076.patch
Patch12: openssl-1.0.1f-CVE-2014-0160.patch
# fedora patches
Patch7: openssl-1.0.0f-defaults.patch
Patch13: openssl-0.9.6-x509.patch
Patch14: openssl-0.9.8j-version-add-engines.patch
Patch16: openssl-1.0.0-beta5-enginesdir.patch
Patch17: openssl-1.0.1-pkgconfig-krb5.patch
Patch18: openssl-1.0.1e-manfix.patch
Patch19: openssl-1.0.1e-cve-2013-6449.patch
# MIPS and ARM support
Patch300: openssl-1.0.1c-mips.patch
Patch301: openssl-1.0.1c-arm.patch
Волноваться за проблемы безопасности в Магее вообще не стоит, этим занимается особая группа, которая всё это отслеживает, и всё всегда приходит в обновлениях после QA (тестирования). Поэтому собранные пакеты можно удалять.
Волноваться за проблемы безопасности в Магее вообще не стоит, этим занимается особая группа, которая всё это отслеживает, и всё всегда приходит в обновлениях после QA (тестирования). Поэтому собранные пакеты можно удалять.
Я бы не был тк уверен. Вот я ждал, ждал и не дождался. Кто знает когда они там проснутся и залатают дырку. А такая дырка как эта, задела чуть ли не 2/3 сайнов на https, вообще должна по бырику лататься.
Я вот Тор использую. Анонимность, все дела. Вот и ходил "анонимно" две недели.
Приходите в QA, вопрос будет продвигаться быстрее. Это несложно. Проверить что-нибудь из этого http://mageia.madb.org/tools/updates и отписаться по багу.
Кто успел поставить. Для отката на старую версию
sudo urpmi --downgrade opensslhttp://blog.mageia.org/en/2014/04/18/a- … bleed-bug/
With the OpenSSL Heartbleed bug still making headlines around the world we thought you would like to know the status of Mageia 3 and 4.
All the following updates included a Heartbleed fix backported from openssl-1.0.1g
openssl-1.0.1e-1.5.mga3.i586.rpm dated 7 April 2014
openssl-1.0.1e-1.5.mga3.x86_64.rpm dated 7 April 2014
openssl-1.0.1e-8.2.mga4.i586.rpm dated 7 April 2014
openssl-1.0.1e-8.2.mga4.x86_64.rpm dated 7 April 2014
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Mageia Russian Community Forum → Системное администрирование → OpenSSL 1.0.1g
Работает на PunBB, при поддержке Informer Technologies, Inc, при поддержке sevo44.ru