openssl-0.9.8a hängt beim 'make test'
Hallo Liste, auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen. Dazu habe ich mir die aktuelle Version von www.openssl.org heruntergeladen, entpackt und gemäss Anleitung versucht zu installieren. Ein './config' und 'make' liefen ohne Fehler durch. Jetzt führe ich 'make test' aus und dabei bleibt der Ablauf hängen. <Ausgabe von 'make test'> [...] The following command should have some OK's and some failures There are definitly a few expired certificates ../util/shlib_wrap.sh ../apps/openssl verify -CApath ../certs ../certs/*.pem ../certs/argena.pem: OK ../certs/argeng.pem: OK ../certs/eng1.pem: OK ../certs/eng2.pem: OK ../certs/eng3.pem: OK ../certs/eng4.pem: OK ../certs/eng5.pem: OK ../certs/RegTP-5R.pem: /C=DE/O=Regulierungsbeh\xC8orde f\xC8ur Telekommunikation und Post/0.2.262.1.10.7.20=1/CN=5R-CA 1:PN error 10 at 0 depth lookup:certificate has expired OK ../certs/RegTP-6R.pem: /C=DE/O=Regulierungsbeh\xC8orde f\xC8ur Telekommunikation und Post/0.2.262.1.10.7.20=1/CN=6R-Ca 1:PN error 10 at 0 depth lookup:certificate has expired OK ../certs/thawteCb.pem: OK ../certs/thawteCp.pem: OK ../certs/vsign1.pem: OK ../certs/vsign3.pem: OK ../certs/vsignss.pem: OK ../certs/wellsfgo.pem: OK </Ausgabe von 'make test'> Hier bleibt das Script dann stehen. Ich weis beim besten Willen nicht auf was das Script hier noch wartet. Kann mir da jemand einen Tip geben, wie ich make test zum Weiterarbeiten überreden kann? Gruss Jörg
Hallo Jörg, hallo Leute, Am Sonntag, 27. November 2005 20:07 schrieb Joerg Ries:
auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen.
Auch wenn die Frage blöd klingt: Warum eigentlich?
Dazu habe ich mir die aktuelle Version von www.openssl.org heruntergeladen, entpackt und gemäss Anleitung versucht zu installieren. Ein './config' und 'make' liefen ohne Fehler durch. Jetzt führe ich 'make test' aus und dabei bleibt der Ablauf hängen.
<Ausgabe von 'make test'> [...] ../certs/wellsfgo.pem: OK </Ausgabe von 'make test'> Hier bleibt das Script dann stehen. Ich weis beim besten Willen nicht auf was das Script hier noch wartet. Kann mir da jemand einen Tip geben, wie ich make test zum Weiterarbeiten überreden kann?
Guck erstmal nach, wo es hängt. Dazu kann beispielsweise die Ausgabe von ps aux oder pstree -a oder top hilfreich sein. Außerdem wäre interessant, ob der Prozessor gerade Arbeit oder Langeweile hat. Im Zweifelsfall kannst Du immer noch im Makefile nachsehen, was nach dem Test der Zertifikate kommt. Gruß Christian Boltz -- Ich selbst benutze kweather nicht (ich guck einfach aus dem Fenster). [Hartmut Meyer in suse-linux]
Am Montag, 28. November 2005 00:36 schrieb Christian Boltz:
Hallo Jörg, hallo Leute,
Am Sonntag, 27. November 2005 20:07 schrieb Joerg Ries:
auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen.
Auch wenn die Frage blöd klingt: Warum eigentlich?
Klingt überhaupt nicht blöd. :-) Weil meines Wissens die vorhandene Version eine Sicherheitslücke hat. [...]
Guck erstmal nach, wo es hängt. Dazu kann beispielsweise die Ausgabe von ps aux oder pstree -a oder top hilfreich sein. Außerdem wäre interessant, ob der Prozessor gerade Arbeit oder Langeweile hat.
schon passiert...leider ohne Ergebnis. Weder hohe CPU-Auslastung noch irgendwelche beendeten Programme.
Im Zweifelsfall kannst Du immer noch im Makefile nachsehen, was nach dem Test der Zertifikate kommt.
auch dies habe ich schon gemacht. Ich sehe, dass von 'Makefile' das Script 'util/shlib_wrap.sh' aufgerufen wird. Dieses wird aber nicht mehr verlassen und zu 'Makefile' zurück gesprungen. Leider bin ich mit der Analyse von 'shlib_wrap.sh' überfordert, was mir ja Hinweise auf die Fehlerursache geben könnte.
Gruß
Christian Boltz --
Gruss Jörg
Ich selbst benutze kweather nicht (ich guck einfach aus dem Fenster). [Hartmut Meyer in suse-linux]
Hallo Liste, Am Montag 28 November 2005 17:10 schrieb Joerg Ries:
Am Montag, 28. November 2005 00:36 schrieb Christian Boltz:
Hallo Jörg, hallo Leute,
Am Sonntag, 27. November 2005 20:07 schrieb Joerg Ries:
auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen.
Auch wenn die Frage blöd klingt: Warum eigentlich?
Klingt überhaupt nicht blöd. :-) Weil meines Wissens die vorhandene Version eine Sicherheitslücke hat.
So viel ich weiß, läuft der Support für die 9.1 noch bis zum Frühjahr 2006 (April???) Bis dahin wird die zu der Distri-gehörende-Version bei Sicherheitslücken gepacht und es online-updates geben. Erst danach sollte man sich Gedanken über neuere Versionen machen. So kann es sein, dass die 0.9.7d alle Patches enthalten wird, aber sich nicht die Versionsnummer ändert, nur die Build-Nummer des rpm-Pakets. Meine Erfahrung: Sehr viele SUSE-Pakete enthalten zahlreiche Patches und Anpassungen. Unter Umständen verhält sich ein selbst kompiliertes Paket nicht mehr so, wie es das System erwartet. So long, Wolfgang E. -- PGP/GPG-Fingerprint: EB27 DF15 AEE3 F8ED BE03 00AE 0963 ADD7 9CFC
Am Montag, 28. November 2005 18:54 schrieb Wolfgang Erlenkötter:
Hallo Liste,
Am Montag 28 November 2005 17:10 schrieb Joerg Ries:
Am Montag, 28. November 2005 00:36 schrieb Christian Boltz:
Hallo Jörg, hallo Leute,
Am Sonntag, 27. November 2005 20:07 schrieb Joerg Ries:
auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen.
[...]
Meine Erfahrung: Sehr viele SUSE-Pakete enthalten zahlreiche Patches und Anpassungen. Unter Umständen verhält sich ein selbst kompiliertes Paket nicht mehr so, wie es das System erwartet.
Nun, das wäre natürlich auch eine Möglichkeit. Laut 'rkhunter' ist die bei mir installierte Version "verwundbar". Geht da 'rkhunter" nach der Versionsnummer oder scannt er die Datei selbst?
So long, Wolfgang E.
Gruss Jörg
-- PGP/GPG-Fingerprint: EB27 DF15 AEE3 F8ED BE03 00AE 0963 ADD7 9CFC
Am 28 Nov 2005 19:33:47 +0100 schrieb Joerg Ries:
Laut 'rkhunter' ist die bei mir installierte Version "verwundbar". Geht da 'rkhunter" nach der Versionsnummer oder scannt er die Datei selbst?
Da geht rkhunter stur nach Versionsnummer, was auf einem SUSE-System keinen Sinn macht, weil wir für freigegebene Distributionen keinen Versionsupdate machen sondern gezielt die erkannten Sicherheitslücken stopfen. Philipp
Am Montag, 28. November 2005 22:04 schrieb Philipp Thomas:
Am 28 Nov 2005 19:33:47 +0100 schrieb Joerg Ries:
Laut 'rkhunter' ist die bei mir installierte Version "verwundbar". Geht da 'rkhunter" nach der Versionsnummer oder scannt er die Datei selbst?
Da geht rkhunter stur nach Versionsnummer, was auf einem SUSE-System keinen Sinn macht, weil wir für freigegebene Distributionen keinen Versionsupdate machen sondern gezielt die erkannten Sicherheitslücken stopfen.
aha, das erklärt dann manches..... Das heist für mich also, wenn ich regelmässig YOU verwende und brav die empfohlenen Updates installiere, reicht das aus um weitgehenst auf der sicheren Seite zu sein. Wegen des Lerneffektes würde mich aber doch die Ursache dafür interessieren, werde also trotzdem mal weitersuchen. Danke Jörg
Philipp
On Sun, Nov 27, 2005 at 08:07:54PM +0100, Joerg Ries wrote:
Hallo Liste,
auf meinem Suse 9.1 System wollte ich openssl 0.9.7d durch openssl-0.9.8a ersetzen. Dazu habe ich mir die aktuelle Version von www.openssl.org heruntergeladen, entpackt und gemäss Anleitung versucht zu installieren. Ein './config' und 'make' liefen ohne Fehler durch. Jetzt führe ich 'make test' aus und dabei bleibt der Ablauf hängen.
<Ausgabe von 'make test'> [...] The following command should have some OK's and some failures There are definitly a few expired certificates ../util/shlib_wrap.sh ../apps/openssl verify -CApath ../certs ../certs/*.pem ../certs/argena.pem: OK ../certs/argeng.pem: OK ../certs/eng1.pem: OK ../certs/eng2.pem: OK ../certs/eng3.pem: OK ../certs/eng4.pem: OK ../certs/eng5.pem: OK ../certs/RegTP-5R.pem: /C=DE/O=Regulierungsbeh\xC8orde f\xC8ur Telekommunikation und Post/0.2.262.1.10.7.20=1/CN=5R-CA 1:PN error 10 at 0 depth lookup:certificate has expired OK ../certs/RegTP-6R.pem: /C=DE/O=Regulierungsbeh\xC8orde f\xC8ur Telekommunikation und Post/0.2.262.1.10.7.20=1/CN=6R-Ca 1:PN error 10 at 0 depth lookup:certificate has expired OK ../certs/thawteCb.pem: OK ../certs/thawteCp.pem: OK ../certs/vsign1.pem: OK ../certs/vsign3.pem: OK ../certs/vsignss.pem: OK ../certs/wellsfgo.pem: OK </Ausgabe von 'make test'> Hier bleibt das Script dann stehen. Ich weis beim besten Willen nicht auf was das Script hier noch wartet. Kann mir da jemand einen Tip geben, wie ich make test zum Weiterarbeiten überreden kann?
Verwendung von /dev/random, aber nicht genuegend Entropie mehr? cat /proc/sys/kernel/random/entropy_avail Schau mal mit 'lsof -p $(pidof openssl)' und 'strace -p $(pidof openssl)', wo genau es haengt. Peter -- When in danger, or in doubt, run in circles, scream and shout. -- Robert A. Heinlein
participants (5)
-
Christian Boltz -
Joerg Ries -
Philipp Thomas -
poeml@cmdline.net -
Wolfgang Erlenkötter