Je travaille avec Ubuntu 14.04 et je ne peux pas démarrer le deamon freeradius
(freeradius-server-3.0.9). J'ai cette erreur que je ne peux pas résoudre:
Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set
security.allow_vulnerable_openssl = 'CVE-2014-0160'
dpkg -l | grep openssl
ii libgnutls-openssl27:i386 2.12.23-12ubuntu2.2 i386 GNU TLS library - OpenSSL wrapper
ii openssl 1.0.1f-1ubuntu2.15 i386 Secure Sockets Layer toolkit - cryptographic utility
ii python-openssl 0.13-2ubuntu6 i386 Python 2 wrapper around the OpenSSL library
apt-cache policy freeradius
freeradius:
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages
apt-cache policy libssl1.0.0:i386
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages
Ce que freeradius
fait, détecte apparemment uniquement sur la chaîne de version renvoyée par OpenSSL sur le système d'exploitation. Malheureusement, cette version ne prend PAS en compte les numéros de révision Ubuntu ou Debian.
Les mises à jour de sécurité Ubuntu sont généralement insérées via une entrée de changelog de style -#ubuntu#
dans le paquet, et les packages à installer contenant les mises à jour de sécurité proviennent du référentiel RELEASE-security
, où RELEASE
est le nom de code. pour la version Ubuntu que vous utilisez.
Pour cette raison, nous devons examiner le CVE spécifique et vérifier le suivi CVE de l'équipe de sécurité Ubuntu. La page détaillant CVE Heartbleed (CVE-2014-0160) dans l'outil de suivi de l'équipe de sécurité Ubunt indique que des correctifs ont été appliqués dans les versions suivantes pour résoudre le problème OpenSSL Heartbleed:
openssl
version du package 1.0.1-4ubuntu5.12
openssl
version du package 1.0.1f-1ubuntu2
Si vous avez extrait toutes les mises à jour OpenSSL à partir des référentiels de sécurité et que vous avez au moins 1.0.1f-1ubuntu2
d'OpenSSL installé (et que les informations fournies indiquent que 1.0.1f-1ubuntu2.15
est installé), tout ira bien.
Dans la mesure où ce qui précède correspond à votre cas, vous pouvez suivre les instructions fournies par le message d'erreur et mettre en place cette ligne, probablement dans le cadre des fichiers de configuration: security.allow_vulnerable_openssl = 'CVE-2014-0160'
Ceci est un suivi mineur de la réponse de "Thomas Ward".
Le fichier de configuration à éditer est:
radiusd.conf
et l'édition est:
security {
[...]
#allow_vulnerable_openssl = no
allow_vulnerable_openssl = 'CVE-2016-6304'
}