web-dev-qa-db-fra.com

freeradius refuse de démarrer car OpenSSL est vulnérable

Je travaille avec Ubuntu 14.04 et je ne peux pas démarrer le deamon freeradius (freeradius-server-3.0.9). J'ai cette erreur que je ne peux pas résoudre:

Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014    
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set    
security.allow_vulnerable_openssl = 'CVE-2014-0160'

dpkg -l | grep openssl

ii  libgnutls-openssl27:i386                              2.12.23-12ubuntu2.2                                 i386         GNU TLS library - OpenSSL wrapper
ii  openssl                                               1.0.1f-1ubuntu2.15                                  i386         Secure Sockets Layer toolkit - cryptographic utility
ii  python-openssl                                        0.13-2ubuntu6                                       i386         Python 2 wrapper around the OpenSSL library

apt-cache policy freeradius

freeradius:
  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table:
     2.1.12+dfsg-1.2ubuntu8.1 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages

apt-cache policy libssl1.0.0:i386

  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table: 
     2.1.12+dfsg-1.2ubuntu8.1 0 
        500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages
securityopensslradius
4
Laasri Reda

Ce que freeradius fait, détecte apparemment uniquement sur la chaîne de version renvoyée par OpenSSL sur le système d'exploitation. Malheureusement, cette version ne prend PAS en compte les numéros de révision Ubuntu ou Debian.

Les mises à jour de sécurité Ubuntu sont généralement insérées via une entrée de changelog de style -#ubuntu# dans le paquet, et les packages à installer contenant les mises à jour de sécurité proviennent du référentiel RELEASE-security, où RELEASE est le nom de code. pour la version Ubuntu que vous utilisez.

Pour cette raison, nous devons examiner le CVE spécifique et vérifier le suivi CVE de l'équipe de sécurité Ubuntu. La page détaillant CVE Heartbleed (CVE-2014-0160) dans l'outil de suivi de l'équipe de sécurité Ubunt indique que des correctifs ont été appliqués dans les versions suivantes pour résoudre le problème OpenSSL Heartbleed:

  • Précis: corrigé dans le package openssl version du package 1.0.1-4ubuntu5.12
  • Trusty: corrigé dans le package openssl version du package 1.0.1f-1ubuntu2

Si vous avez extrait toutes les mises à jour OpenSSL à partir des référentiels de sécurité et que vous avez au moins 1.0.1f-1ubuntu2 d'OpenSSL installé (et que les informations fournies indiquent que 1.0.1f-1ubuntu2.15 est installé), tout ira bien.

Dans la mesure où ce qui précède correspond à votre cas, vous pouvez suivre les instructions fournies par le message d'erreur et mettre en place cette ligne, probablement dans le cadre des fichiers de configuration: security.allow_vulnerable_openssl = 'CVE-2014-0160'

5
Thomas Ward

Ceci est un suivi mineur de la réponse de "Thomas Ward".

Le fichier de configuration à éditer est:

radiusd.conf

et l'édition est:

security {
    [...]
    #allow_vulnerable_openssl = no
    allow_vulnerable_openssl = 'CVE-2016-6304'
    }
0
473183469