| View previous topic :: View next topic |
| Author |
Message |
andreask
Apprentice
Joined: 09 Sep 2003
Posts: 282
Location: Aachen, Germany
|
 Posted: Thu Mar 18, 2004 10:47 am Post subject: openssl nicht in "emerge world"? / "Binärdis |
 |
|
Hallo!
Gestern gab es ja ein openssl-update, aufgrund von Sicherheitslücken, siehe: http://www.openssl.org/news/secadv_20040317.txt
Dann habe ich erst "emerge sync" gemacht, um meinen Portage-Tree auf den neusten Stand zu bringen. Danach dann "emerge -p system" und "emerge -p world", aber openssl war nirgendwo enthalten, was mich sehr wundert, denn ein "emerge -p openssl" zeigt mir sehr wohl dass es das genannte Update gibt, siehe: http://packages.gentoo.org/packages/?category=dev-libs;name=openssl
Soll das so sein? Ich meine, openssl würde ich schon als wichtig einstufen, vor allem bei Servern die das verwenden. "emerge security" würde das dann aber enthalten, oder?
Viele Grüße
Andreas
Last edited by andreask on Thu Mar 18, 2004 12:12 pm; edited 1 time in total |
|
| Back to top |
|
 |
Earthwings
Bodhisattva
Joined: 14 Apr 2003
Posts: 7753
Location: Germany
|
| Posted: Thu Mar 18, 2004 10:51 am Post subject: |
|
|
Wenn openssl als Abhängigkeit eines anderen Pakets installiert wurde, ist es in "emerge world" nicht enthalten. Versuch mal "emerge -uD world -va".
emerge security würde es (wenn es schon fertig wäre) enthalten. |
|
| Back to top |
|
|
andreask
Apprentice
Joined: 09 Sep 2003
Posts: 282
Location: Aachen, Germany
|
| Posted: Thu Mar 18, 2004 11:17 am Post subject: |
|
|
ach so, Danke!
"emerge security" ist doch für gentoo 2004.1 angekündigt wie ich das riichtig verstanden habe.
btw. wenn ich das richtig verstanden habe wird gentoo ab dann auch eine "binär-Distribution", also mit fertig kompilierten Paketen in Portage oder habe ich das falsch verstanden?
http://www.gentoo.org/news/en/gwn/20040315-newsletter.xml#doc_chap1
| Quote: | | Internet-based GRP for Portage's binary download and install functionality. |
Grüße
Andreas |
|
| Back to top |
|
|
Earthwings
Bodhisattva
Joined: 14 Apr 2003
Posts: 7753
Location: Germany
|
| Posted: Thu Mar 18, 2004 11:40 am Post subject: |
|
|
| andreask wrote: |
"emerge security" ist doch für gentoo 2004.1 angekündigt wie ich das riichtig verstanden habe.
|
Genau, es gibt auch schon ne testweise Integration in gentoolkit.
| Quote: |
btw. wenn ich das richtig verstanden habe wird gentoo ab dann auch eine "binär-Distribution", also mit fertig kompilierten Paketen in Portage oder habe ich das falsch verstanden?
|
Wie man es nimmt. Sogesehen ist Gentoo jetzt ja schon eine Binär-Distribution, da GRP unterstützt wird und auch Installation von Binärpaketen von FTP-Servern. Ändern wird sich wohl nur, dass die GRP Pakete nicht komplett als ISO runterzuladen sind, sondern einzeln von portage geholt werden.
Auf welchem Server diese Pakete dann liegen und wie oft sie aktualisert werden, wie lange sie verfügbar sind etc. weiß ich nicht. Aber vielleicht jemand anderes... (Genone?) |
|
| Back to top |
|
|
Lenz
Veteran
Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]
|
| Posted: Thu Mar 18, 2004 11:41 am Post subject: |
|
|
| andreask wrote: | | btw. wenn ich das richtig verstanden habe wird gentoo ab dann auch eine "binär-Distribution", also mit fertig kompilierten Paketen in Portage oder habe ich das falsch verstanden? |
Aber hoffentlich nur als Option. 
_________________
.:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
| Back to top |
|
|
stream
Guru
Joined: 04 Jan 2003
Posts: 401
|
| Posted: Thu Mar 18, 2004 3:28 pm Post subject: |
|
|
Wenn ich ein Update auf openssl 0.9.7d mache, dann muss ich doch auch alle Programme, die statisch auf openssl gelinkt sind updaten?
Bei dynamischen Links muss ich das nicht machen. Richtig?
emerge -eDvp world | grep +ssl und dann alle Packete emergen die ausgegeben werden?
Schade, dass dazu kein Hinweis in dem Advisory ist |
|
| Back to top |
|
|
amne
Bodhisattva
Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU
|
| Posted: Thu Mar 18, 2004 5:03 pm Post subject: |
|
|
Hm, also bei mir ist openssl sehr wohl in emerge -(u)p world enthalten sowie in /var/cache/edb/world enthalten. Hast du vielleicht letztens openssl mittels | Code: | | emerge /path/to/openssl.ebuild |
installiert? |
|
| Back to top |
|
|
stream
Guru
Joined: 04 Jan 2003
Posts: 401
|
| Posted: Fri Mar 19, 2004 6:44 pm Post subject: |
|
|
| stream wrote: | Wenn ich ein Update auf openssl 0.9.7d mache, dann muss ich doch auch alle Programme, die statisch auf openssl gelinkt sind updaten?
Bei dynamischen Links muss ich das nicht machen. Richtig?
emerge -eDvp world | grep +ssl und dann alle Packete emergen die ausgegeben werden?
Schade, dass dazu kein Hinweis in dem Advisory ist |
Hat keiner bis jetzt ein Update von OpenSSL gemacht? |
|
| Back to top |
|
|
DarKRaveR
Guru
Joined: 11 Oct 2003
Posts: 500
Location: Old Europe/G-Many
|
| Posted: Fri Mar 19, 2004 8:10 pm Post subject: |
|
|
Also, ich habe es gestern geupdated.
Habe einfach ein emerge -upv world gemacht und war dabei.
notfalls kannst du ja auch explizit mal:
ermege -pv openssl machen, dann siehste ja, was installiert ist und was er installieren würde.
und dann halt explizit openssl emergen.
Und BITTE danach nicht vergessen:
revedp-rebuild machen, damit alle executeables gegen die gefixte lib gelinkt werden.
Und dann auch noch sshd etc. neu starten, bzw. beenden und starten, damit die neuen executeables verwendet werden.
Danach sollte das update komplett sein (Schweine Arbeit das). |
|
| Back to top |
|
|
stream
Guru
Joined: 04 Jan 2003
Posts: 401
|
| Posted: Fri Mar 19, 2004 8:58 pm Post subject: |
|
|
revdep-rebuild wird doch nur verwendet, um dynamische Links auf OpenSSL zu verwenden.
Also wenn ich von 0.9.6 auf 0.9.7 updaten will.
Bei den statischen Links ändert sich mit revdep-rebuild nichts.
in der man von revdep-rebuild steht dazu leider nicht. Ich bilde mir aber ein, das man im Forum gelesen zu haben. |
|
| Back to top |
|
|
DarKRaveR
Guru
Joined: 11 Oct 2003
Posts: 500
Location: Old Europe/G-Many
|
| Posted: Fri Mar 19, 2004 9:07 pm Post subject: |
|
|
Stimmt schon, aber was wird noch statisch gelinked, vor allem gegen ssl ? grade so sachen wie apache, ssh, bind etc. verwenden allesamt dynamische libs, es sei denn, man hat sie explizit statisch gebaut (weil man es brauch).
Insofern sollte revdep schon die meisten progs finden.
Bei denen die statisch gelinked sind, humm, wird es wohl eh schwierig, da müßte man mit objdump oder so nach den SYMBOLS suchen.
Ich hoffe einfach mal darauf, daß nichts wesentliches statisch gegen openssl gelinked wurde, die anderen Sachen werden beim nächsten updaten ja eh gehen das neue openssl gelinked.
andererseits könnte man ja mit qpkg schauen, was alles das openssl paket in irgendeiner form braucht. ???
Ich habe es nru angemerkt, weil es halt nix nutzt openssl upzudaten, aber den apache etc. nicht neu gegen das neue openssl zu linken, da kann man sich das updaten auch schenken  |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Sat Mar 20, 2004 8:15 am Post subject: |
|
|
 , einige Sachen die hier genannt werden, giebt es die nur wenn ich eine Neuinstallation mache mit der 2004.x CD?
zB:
- emerge security, aber ich habs so Verstanden, das das noch in Entwicklung ist, also demnächst erst freigegeben wird.
- revedp-rebuild, das kann ich eingeben wie ich möchte, das ist unbekannt.
| Quote: | | revedp-rebuild machen, damit alle executeables gegen die gefixte lib gelinkt werden. |
Wie läuft das ab, wird neu kompiliert, werden Konfigs angepasst oder beides? Ich bin kein Dev. nur ein hartnäckiger Tüftler;)
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
Mac Fly
Guru
Joined: 30 Nov 2003
Posts: 330
Location: nähe Stuttgart
|
| Posted: Sat Mar 20, 2004 9:03 am Post subject: |
|
|
Nach dem emergen von openssl erscheint folgende Meldung: | Quote: | * You can now re-compile all packages that are linked against
* OpenSSL 0.9.6 by using revdep-rebuild from gentoolkit:
* # revdep-rebuild --soname libssl.so.0.9.6
* # revdep-rebuild --soname libcrypto.so.0.9.6
* After this, you can delete /usr/lib/libssl.so.0.9.6 and /usr/lib/libcrypto.so.0.9.6
|
|
|
| Back to top |
|
|
Earthwings
Bodhisattva
Joined: 14 Apr 2003
Posts: 7753
Location: Germany
|
| Posted: Sat Mar 20, 2004 9:06 am Post subject: |
|
|
| Das erste gibts noch nicht, nur als Testversion glsa-check" mit dem neuen gentoolkit. Das zweite heißt richtig "revdep-rebuild". |
|
| Back to top |
|
|
UTgamer
Veteran
Joined: 10 Aug 2003
Posts: 1326
Location: Troisdorf (Köln) Deutschland
|
| Posted: Sat Mar 20, 2004 9:24 am Post subject: |
|
|
| Earthwings wrote: | | Das erste gibts noch nicht, nur als Testversion glsa-check" mit dem neuen gentoolkit. Das zweite heißt richtig "revdep-rebuild". |
Danke
_________________
AMD Phenom II x4 >> CFLAGS="-march=amdfam10 -O2 -mmmx -msse3 -mfpmath=sse,387 -pipe -ffast-math" is stable and here in use.
Did Intel produce at any time bugfree HW?
http://www.urbanmyth.org/microcode/
http://www.heise.de/newsticker/meldung/91748 |
|
| Back to top |
|
|
andreask
Apprentice
Joined: 09 Sep 2003
Posts: 282
Location: Aachen, Germany
|
| Posted: Sun Mar 21, 2004 2:25 pm Post subject: |
|
|
| amne wrote: | Hm, also bei mir ist openssl sehr wohl in emerge -(u)p world enthalten sowie in /var/cache/edb/world enthalten. Hast du vielleicht letztens openssl mittels | Code: | | emerge /path/to/openssl.ebuild |
installiert? |
Nein. Vor wenigen Tagen mit Knoppix, Stage3 und Athlon GRP-CD installiert(2004.0). Ich habe openssl nicht extra einzelnd installiert.
Bei emerge openssl hat er es dann gemacht, und hierbei beide Versionen aktualisiert, die 0.9.6er und die 0.9.7er.
Wenn ich jetzt einen Apache hätte der mod_ssl als Modul eingebunden hat, würde dieses dann durch Eingabe von "revedp-rebuild" aktualisiert? Bzw. neue gelinkt? Womit überprüfe ich das am besten? Über emerge müsste ich also alle Programme finden die dynamisch gegen openssl gelinkt sind, oder?
btw.: Was hat das ganze mit SSH zu tun? Verwendet SSH SSL? Wäre mir neu?!
Grüße
Andreas |
|
| Back to top |
|
|
øxygen
Apprentice
Joined: 09 Mar 2004
Posts: 236
Location: Bergheim, Germany
|
| Posted: Sun Mar 21, 2004 2:51 pm Post subject: |
|
|
hab ich mich auch gefragt, auf jeden Fall linkt OpenSSH eine Libary von OpenSSL: | Quote: |
$ ldd /usr/sbin/sshd
libpam.so.0 => /lib/libpam.so.0 (0x40031000)
libdl.so.2 => /lib/libdl.so.2 (0x4003a000)
libresolv.so.2 => /lib/libresolv.so.2 (0x4003d000)
libutil.so.1 => /lib/libutil.so.1 (0x4004e000)
libz.so.1 => /usr/lib/libz.so.1 (0x40051000)
libnsl.so.1 => /lib/libnsl.so.1 (0x4005f000)
libcrypto.so.0.9.7 => /usr/lib/libcrypto.so.0.9.7 (0x40075000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x40172000)
libcom_err.so.2 => /lib/libcom_err.so.2 (0x4019f000)
libc.so.6 => /lib/libc.so.6 (0x401a2000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
|
Um mit emerge -u world auf dem aktuellen Stand zu bleiben, mach ich regelmäßig ein:
qpkg -I -nc > /var/cache/edb/world
Das ist zwar wohl nicht so gedacht, aber was bleibt einem anderes übrig? |
|
| Back to top |
|
|
Earthwings
Bodhisattva
Joined: 14 Apr 2003
Posts: 7753
Location: Germany
|
| Posted: Sun Mar 21, 2004 3:24 pm Post subject: |
|
|
| Quote: |
Um mit emerge -u world auf dem aktuellen Stand zu bleiben, mach ich regelmäßig ein:
qpkg -I -nc > /var/cache/edb/world
Das ist zwar wohl nicht so gedacht, aber was bleibt einem anderes übrig? |
Uh, wie häßlich. Was spricht denn gegen ein emerge -uD world? |
|
| Back to top |
|
|
Mac Fly
Guru
Joined: 30 Nov 2003
Posts: 330
Location: nähe Stuttgart
|
| Posted: Sun Mar 21, 2004 6:49 pm Post subject: |
|
|
| Und regenworld gibt es auch noch... |
|
| Back to top |
|
|
|
Deutsches Forum (German)
