...

Hallo, ich betreibe noch einen IMAP-Server (Courier) und Apache aus der OpenSuSE 12.2 bzw. 12.3. Dafür gibt es keine Updates mehr. Gibt es eine Möglichkeit das SSL von Hand zu patchen? Kann ich dazu evtl. ein Paket einer älteren oder jüngeren SuSE-Version nehmen oder gibt es dann Probleme mit den Libaries. Ist das betroffen File /usr/bin/openssl und / oder noch andere?

Ingo

Hallo Ingo, die 12.2 und 12.3 sind ja nun mal nicht SOOO alt - d.h. du solltest eigentlich die openssl src Pakete passend dazu installieren können. Der Patch selbst ist ein Einzeiler und war bei Heise zu finden Viele Grüsse Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 12.04.2014 13:47, schrieb Marcus Meissner:

On Sat, Apr 12, 2014 at 11:30:26AM -0000, hamann.w@t-online.de wrote:

...

...

...

Hallo, ich betreibe noch einen IMAP-Server (Courier) und Apache aus der OpenSuSE 12.2 bzw. 12.3. Dafür gibt es keine Updates mehr. Gibt es eine Möglichkeit das SSL von Hand zu patchen? Kann ich dazu evtl. ein Paket einer älteren oder jüngeren SuSE-Version nehmen oder gibt es dann Probleme mit den Libaries. Ist das betroffen File /usr/bin/openssl und / oder noch andere?

Ingo

Hallo Ingo,

die 12.2 und 12.3 sind ja nun mal nicht SOOO alt - d.h. du solltest eigentlich die openssl src Pakete passend dazu installieren können. Der Patch selbst ist ein Einzeiler und war bei Heise zu finden 12.3 hat ganz normale updates dafuer bekommen. Ich habe nun mal die 12.3 /usr/bin/openssl auf den 12.2 Server kopiert und die Courier, Postfix, SASL-Auth? neugestartet. Das Testskript zeigt allerdings immer noch an, dass der Bug existiert. Ist da noch ein anderes Paket, das betroffen ist? Kann mir jemand die zusammenhänge etwas genauer erläutern?

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 12.04.2014 14:52, schrieb hamann.w@t-online.de:

...

...

Am 12.04.2014 13:47, schrieb Marcus Meissner:

...

On Sat, Apr 12, 2014 at 11:30:26AM -0000, hamann.w@t-online.de wrote:

...

...

> Hallo, > ich betreibe noch einen IMAP-Server (Courier) und Apache aus der > OpenSuSE 12.2 bzw. 12.3. Dafür gibt es keine Updates mehr. > Gibt es eine Möglichkeit das SSL von Hand zu patchen? > Kann ich dazu evtl. ein Paket einer älteren oder jüngeren SuSE-Version > nehmen oder gibt es dann Probleme mit den Libaries. Ist das betroffen > File /usr/bin/openssl und / oder noch andere? > > Ingo > > Hallo Ingo,

die 12.2 und 12.3 sind ja nun mal nicht SOOO alt - d.h. du solltest eigentlich die openssl src Pakete passend dazu installieren können. Der Patch selbst ist ein Einzeiler und war bei Heise zu finden 12.3 hat ganz normale updates dafuer bekommen. Ich habe nun mal die 12.3 /usr/bin/openssl auf den 12.2 Server kopiert und die Courier, Postfix, SASL-Auth? neugestartet. Das Testskript zeigt allerdings immer noch an, dass der Bug existiert. Ist da noch ein anderes Paket, das betroffen ist? Kann mir jemand die zusammenhänge etwas genauer erläutern?

Hallo Ingo,

/usr/bin/openssl wird es sicher nicht (alleine) sein

Mit ldd /usr/bin/openssl erfährst Du, welche libs dazugehören, da könnte z.B. stehen libssl.so.1.0.1e => /usr/lib64/libssl.so.1.0.1e (+irgendeine hexzahl) (analog libcrypto) Diese Datei muss sicher mit ausgetauscht werden. Wenn Du mit ldd auch deine Server überprüfst, sollten eigentlich die gleichen Dateien angezeigt werden - d.h. deren Austausch hat dann das Problem behoben. Danke hat geklappt. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 12.04.2014 15:14, schrieb Sebastian Siebert:

Am 12.04.2014 14:09, schrieb I.H.:

...

Am 12.04.2014 13:47, schrieb Marcus Meissner:

...

On Sat, Apr 12, 2014 at 11:30:26AM -0000, hamann.w@t-online.de wrote:

...

...

...

Hallo, ich betreibe noch einen IMAP-Server (Courier) und Apache aus der OpenSuSE 12.2 bzw. 12.3. Dafür gibt es keine Updates mehr. Gibt es eine Möglichkeit das SSL von Hand zu patchen? Kann ich dazu evtl. ein Paket einer älteren oder jüngeren SuSE-Version nehmen oder gibt es dann Probleme mit den Libaries. Ist das betroffen File /usr/bin/openssl und / oder noch andere?

Ingo

Hallo Ingo,

die 12.2 und 12.3 sind ja nun mal nicht SOOO alt - d.h. du solltest eigentlich die openssl src Pakete passend dazu installieren können. Der Patch selbst ist ein Einzeiler und war bei Heise zu finden 12.3 hat ganz normale updates dafuer bekommen. Ich habe nun mal die 12.3 /usr/bin/openssl auf den 12.2 Server kopiert und die Courier, Postfix, SASL-Auth? neugestartet. Das Testskript zeigt allerdings immer noch an, dass der Bug existiert. Ist da noch ein anderes Paket, das betroffen ist? Kann mir jemand die zusammenhänge etwas genauer erläutern?

Hallo Ingo,

bitte bitte nie irgendwelche binären Dateien aus einer anderen openSUSE-Version in eine ältere openSUSE-Version einfach so reinkopieren. Dabei kannst du mehr Probleme einhandeln als du denkst und ist auch im Allgemeinen bekannt, was du als Server-Administrator auch wissen solltest.

Dann lieber src.rpm herunterladen und die Pakete neu bauen. Achte darauf, dass du die gleiche OpenSSL-Version nimmst und den Patch einpflegst. Wenn du diesbezüglich keine Pakete bauen kannst, dann rate ich dir lieber das System neu aufzusetzen und aller relevanten Daten zu migrieren.

Wenn du einen Server mit openSUSE betreibst, solltest du unbedingt die Security-Announce-Mailingliste abonnieren. Da stehen alle relevanten Sachen drin und du verpasst auch keine sicherheitsrelevante Nachrichten.

http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00004.html

Ja du hast sicherlich recht. Nur brauch ich am Wochenende erst mal bisschen Zeit für die Familie. Kompilieren ist nicht da habe ich zu wenig Ahnung von. Sobald ich Zeit habe installiere ich neu. Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 12.04.2014 16:17, schrieb hamann.w@t-online.de:

Hallo Sebastian [...]

...

...

Wenn du diesbezüglich keine Pakete bauen kannst, dann rate ich dir lieber das System neu aufzusetzen und aller relevanten Daten zu migrieren. Wenn man es aber schon ein paarmal erlebt hat, dass ein neu (also mit einer aktuelleren Version) aufgesetztes System partout nicht laufen wollte, und man dann - am besten vor der abgeschalteten produktiven Kiste und mit den drängelnden Kollegen in der Nähe - nach Lösungen suchen musste, wird man hier etwas vorsichtiger.

Hallo Wolfgang, nun ja, wenn man Administrator ist und einen Server mit openSUSE im Internet betreibt, sollte man schon rechtzeitig 2-3 Monate vor Support-Ende einer openSUSE-Version einen Test-Rechner bzw. eine virtuelle Maschine mit einer neueren openSUSE-Version aufsetzen und die Migration testen. In der Zeit kann man die möglichen Probleme angehen und mit den Entwicklern der jeweiligen Paketkomponente über Lösungen besprechen. Alles eine Sache der Organisation und des eigenen Willens ein sicheres lauffähiges System haben zu wollen. Andererseits wenn man viel Arbeit und wenig Zeit hat (oder auch nur Faulheit), dann sollte man sich überlegen, ob es nicht besser wäre, SUSE Linux Enterprise zu holen und sich mit Updates über mehrere Jahre versorgen zu lassen. Das ganze wird zurecht etwas Geld kosten. Jedoch hat man sehr lange seine Ruhe. [1] :-) [1] https://www.suse.com/support/policy.html -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: http://www.sebastian-siebert.de Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 12.04.2014 12:17, schrieb Tobias Crefeld:

Am Sat, 12 Apr 2014 10:52:30 +0200 schrieb "I.H." :

...

ich betreibe noch einen IMAP-Server (Courier) und Apache aus der OpenSuSE 12.2 bzw. 12.3. Dafür gibt es keine Updates mehr. Seit wann gibt es für 12.3 keine Updates mehr?

...

Gibt es eine Möglichkeit das SSL von Hand zu patchen? Dazu solltest Du die src-rpms runterladen, beim openssl-Projekt die nötigen diffs identifizieren, etwaige Suse-Spezifika im Code identifizieren, sources patchen, neu kompilieren, installieren.

...

Kann ich dazu evtl. ein Paket einer älteren oder jüngeren SuSE-Version nehmen oder gibt es dann Probleme mit den Libaries. Ist das betroffen File /usr/bin/openssl und / oder noch andere? Kannst Du machen, aber es gibt keine Garantie, dass die Installation anschließend noch 1.) fehlerfrei funktioniert und 2.) sicherer ist. Bei älteren Versionen fängst Du Dir ja logischerweise ältere Bugs ein, also wirst Du am ehesten Dein Glück mit Paketen aus 12.3 versuchen wollen.

Warum willst Du openssl patchen willst, akzeptierst aber die übrigen security leaks der Pakete von opensuse-12.2? Du bekommst seit Januar nicht mal mehr Informationen, dass ein neuer Bug für 12.2. auftaucht (nicht jeder Bug schafft es in die Tagesschau...).

Wer nicht einmal im Jahr opensuse neu installieren will, der nimmt ein anderes OS her. Nichts gegen Suse und opensuse, aber auf dem Server nehme ich aus diesem Grund was Langlebigeres (z.B. CentOS) her. Es gibt auch Anbieter eigener opensuse-basierenden OS, die basierend länger patches anbieten. Die bieten allerdings diesen Service nur für eine geringere Auswahl von Paketen und teilweise musst Du die Pakete selber bauen, was zumindest die Pflege der sources erspart. Danke für deine Antwort. Ich bin halt seit 6.x mit Suse zugange und bin deshalb ein bisschen bequem geworden :-) Aber du hast recht ich habe mir das auch schon öfter überlegt und werde mir wohl dieses Jahr eine neue Distri für den Server anschauen. Das mit dem Openssl-Patch sollte eigentlich auch nur eine kurzfristige Lösung sein. Bis ich die Zeit für eine Neuinstallation habe.

Ingo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Sat, 12 Apr 2014 13:26:22 +0200 schrieb Martin Schröder :

1. zypper dup funktioniert

Im Sinne von dist-upgrade konnte ich das bislang nicht feststellen, aber käme mal auf einen erneuten Versuch an.

2. evergreen existiert

Für 12.2? opensuse-Wiki sagt dazu nichts. Und wie gesagt: Es gibt eine ganze Reihe von opensuse basierten OS mit längerer Laufzeit. Aber das ist dann halt kein opensuse mehr, was Auswirkungen bei Einsatz von 3rd-party repos hat. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org