apt-get não atualiza o openssl no debian 7

4

Estou enfrentando o seguinte problema. Se eu executar o comando sudo apt-get upgrade , obtenho:

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following packages have been kept back:
  libssl1.0.0:i386
0 upgraded, 0 newly installed, 0 to remove and 1 not upgraded.

e se eu executar sudo apt-get install libssl1.0.0:i386

Reading package lists... Done
Building dependency tree       
Reading state information... Done
Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been created or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 apache2-mpm-prefork : Depends: apache2.2-bin (= 2.2.22-13+deb7u1) but it is not going to be installed
 apache2.2-common : Depends: apache2.2-bin (= 2.2.22-13+deb7u1) but it is not going to be installed
                Depends: apache2-utils but it is not going to be installed
                Recommends: ssl-cert but it is not going to be installed
 libssl1.0.0 : Breaks: libssl1.0.0:i386 (!= 1.0.1e-2+deb7u6) but 1.0.1e 2+deb7u7 is to be installed
 libssl1.0.0:i386 : Breaks: libssl1.0.0 (!= 1.0.1e-2+deb7u7) but 1.0.1e-2+deb7u6 is to be installed
E: Error, pkgProblemResolver::Resolve generated breaks, this may be caused by held packages.

Estou usando o Debian 7 64.

Você poderia, por favor, explicar o que realmente está acontecendo? Há alguma coisa errada no meu servidor?

Obrigado.

    
por The Quantum Physicist 18.04.2014 / 00:43

1 resposta

2

O problema parece ser que você não pode ter as versões amd64 e i386 de libssl1.0.0 instaladas juntas a menos que elas sejam exatamente da mesma versão. Acima da versão amd64 está 1.0.1e-2+deb7u6 , enquanto a versão i386 é 1.0.1e-2+deb7u7 .

Por algum motivo, a arquitetura i386 tem uma versão mais recente do pacote do que as outras, não está claro por que isso acontece. Talvez esteja demorando para se propagar através dos servidores. O pacote parece ser uma atualização de segurança importante, copiei as alterações abaixo:

openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high

  • Non-maintainer upload by the Security Team.
    • Fix CVE-2010-5298: use-after-free race condition.
    • Add a versioned dependency from openssl to libssl1.0.0 to a version that has the fix for CVE-2014-0160 (Closes: #744194).
    • Propose restarting prosody on upgrade (Closes: #744871).
    • Correctly detect apache2 installations and propose it to be restarted (Closes: #744141).
    • Add more services to be checked for restart.
    • Fix a bug where the critical flag for TSA extended key usage is not always detected, and two other similar cases.
    • Add support for 'libraries/restart-without-asking', which allows services to be restarted automatically without prompting, or requiring a response instead.
    • Fix CVE-2014-0076: "Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack" (Closes: #742923).

-- Raphael Geissert Thu, 17 Apr 2014 22:11:33 +0200

Provavelmente, a melhor coisa a fazer é aguardar até que o pacote esteja disponível para amd64 . Como i386 é uma arquitetura estrangeira para seu servidor, é provável que não haja benefícios de segurança para instalá-lo, uma vez que a versão amd64 será a principal usada. Provavelmente, o i386 one é apenas uma dependência para um pacote periférico que não tem nada rodando o tempo todo (embora você precise verificar todas as dependências para ter certeza).

    
por 18.04.2014 / 02:01