freeradius se recusa a iniciar porque diz que o OpenSSL é vulnerável

Question

freeradius se recusa a iniciar porque diz que o OpenSSL é vulnerável

#1 resposta do Thomas Ward (4 votos)
#2 resposta do 473183469 (0 votos)

4

Eu trabalho com o Ubuntu 14.04 e não consigo iniciar o freeradius deamon (freeradius-server-3.0.9). Eu tenho esse erro que não consigo resolver:

Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014    
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set    
security.allow_vulnerable_openssl = 'CVE-2014-0160'

dpkg -l | grep openssl

ii  libgnutls-openssl27:i386                              2.12.23-12ubuntu2.2                                 i386         GNU TLS library - OpenSSL wrapper
ii  openssl                                               1.0.1f-1ubuntu2.15                                  i386         Secure Sockets Layer toolkit - cryptographic utility
ii  python-openssl                                        0.13-2ubuntu6                                       i386         Python 2 wrapper around the OpenSSL library

apt-cache policy freeradius

freeradius:
  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table:
     2.1.12+dfsg-1.2ubuntu8.1 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages

apt-cache policy libssl1.0.0:i386

  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table: 
     2.1.12+dfsg-1.2ubuntu8.1 0 
        500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages

security openssl radius

por Laasri Reda 10.09.2015 / 18:15

2 respostas

0

Trata-se de um pequeno acompanhamento da @ resposta de "Thomas Ward".

O arquivo de configuração a ser editado é:

radiusd.conf

e a edição é:

security {
    [...]
    #allow_vulnerable_openssl = no
    allow_vulnerable_openssl = 'CVE-2016-6304'
    }

por 473183469 10.02.2017 / 10:46

Tags security openssl radius

Como configuro / uso o Hyperterminal no Ubuntu 14.04? Onde encontrar os logs de inicialização do ubuntu?

score 4 · Accepted Answer

O que o freeradius está fazendo, aparentemente está detectando apenas a string de versão retornada pelo OpenSSL no sistema operacional. Infelizmente, essa string de versão NÃO leva em conta os números de revisão do Ubuntu ou do Debian.

As atualizações de segurança do Ubuntu normalmente são feitas através de uma entrada changelog -#ubuntu# style no pacote, e os pacotes a serem instalados têm as atualizações de segurança originadas do repositório RELEASE-security , onde RELEASE é o codinome do Ubuntu versão em que você está.

Por causa disso, temos que examinar o CVE específico e verificar o rastreador CVE da equipe de segurança do Ubuntu. A página detalhando o Heartbleed CVE (CVE-2014-0160) no Ubuntu Security O rastreador da equipe indica que as seguintes versões tinham correções aplicadas para corrigir o problema do OpenSSL Heartbleed:

Preciso: corrigido no pacote openssl versão do pacote 1.0.1-4ubuntu5.12
Confiável: corrigido no pacote openssl versão do pacote 1.0.1f-1ubuntu2

Se você tiver extraído todas as atualizações do OpenSSL dos repositórios de segurança e tiver pelo menos 1.0.1f-1ubuntu2 do OpenSSL instalado (e suas informações fornecidas informarem que 1.0.1f-1ubuntu2.15 está instalado), tudo bem.

Contanto que o acima corresponda ao seu caso, você pode seguir as instruções fornecidas pela mensagem de erro e colocar essa linha, provavelmente como parte dos arquivos de configuração: security.allow_vulnerable_openssl = 'CVE-2014-0160'