OpenSSL 1.0.1i

Arshane
Messages : 1
Inscription : 27 août 2014, 23:41

OpenSSL 1.0.1i

Message par Arshane » 27 août 2014, 23:51

Bonjour, Je viens de scanner mon serveur Web et j'ai eu comme recommandation de passer en openssl 1.0.1i en place de la 1.0.1e or je ne trouve aucun dépôt avec la version "i" donc
1/ y a t il des dépôt avec la version i ?
2/ le site openssl proposer les sources donc lançons nous dans un "make" mais la une fois le bazar fait la version reste en 1.0.1i, évidement restart, reboot, grossièretés mais non rien ...

Je suis preneur de toutes les bonnes idées

Merci

Arshane

Beta-Pictoris
Messages : 1017
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: OpenSSL 1.0.1i

Message par Beta-Pictoris » 28 août 2014, 15:51

La compilation des sources de openssl installe les fichiers dans /usr/local/ssl.

Tu peux, alors, tester la nouvelle version de openssl comme ceci:

Code : Tout sélectionner

/usr/local/ssl/bin/openssl version

Nils
Messages : 89
Inscription : 22 octobre 2009, 18:55

Re: OpenSSL 1.0.1i

Message par Nils » 29 août 2014, 15:09

Dans CentOS (et dans RHEL), les mises à jour de sécurité sont généralement faites par rétro-portage (backport en anglais). Pour prendre exemple sur OpenSSL, la version fournie par CentOS 7 est la 1.0.1e : en supposant qu'il y ait une faille dans cette version, et qu'elle soit corrigée, par exemple dans la version 1.0.1f, Red Hat ne créera pas un RPM de la 1.0.1f, mais créera un RPM 1.0.1e-2 (le -2 étant un numéro de révision), ne contenant que la correction de la faille. Le but dans cela est de conserver une compatibilité binaire avec les logiciels interagissant avec ceux fournis par Red Hat (ou CentOS).

De plus, si tu venais à installer OpenSSL depuis les sources, il faudrait que les logiciels qui l'utilisent. Et Apache (puisque tu mentionnes ton serveur web) lui, il ne connaît que la version d'OpenSSL installée en RPM (puisqu'il a été compilé avec cette version).

Donc en gros :
- sauf à vouloir essayer des paramètres ou des spécificités des versions suivantes d'OpenSSL, il n'est pas nécessaire de compiler soi-même depuis les sources (surtout si tu souhaites utiliser d'autres logiciels avec, que ce soit Apache avec mod_ssl ou d'autres) ;
- pour que ton système soit à jour (et pas seulement pour OpenSSL), utilise la commande "yum update" ;
- le logiciel que tu as utilisé pour scanner te fera certainement la remarque sur d'autres logiciels (Apache ou OpenSSH par exemple).

Beta-Pictoris
Messages : 1017
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: OpenSSL 1.0.1i

Message par Beta-Pictoris » 29 août 2014, 17:27

Les modules mod_nss et mod_ssl d'apache sont, respectivement, liés à aux bibliothèques libssl3.so et libcrypto.so.10 d'openssl.
Cela dit, une mise à jour mineure d'openssl ne va pas, forcément, nécessiter la recompilation de ces modules, ni d'apache.

Maintenant, il est vrai que si la version d'openssl fournie avec la centos avait une faille de sécurité, une mise à jour serait rapidement disponible dans les dépots.

Répondre