Re: [FUG-BR] OpenSSL vulnerabilidade
> On Jun 13, 2015, at 15:24, Vinícius Zavam wrote: > > 2015-06-13 10:12 GMT-03:00 Patrick Müller : > >> Bom, para resolver o primeiro problema, além de atualizar o sistema está >> sendo aconselhando usar esses passos https://weakdh.org/sysadmin.html >> >> E estou pensando em aplicar essa customização no ssh. >> https://jbeekman.nl/blog/2015/05/ssh-logjam/ >> >> Mesmo após a atualização, acho válido aplicar essas configurações de >> segurança >> >> Para testar a solução proposta. https://www.ssllabs.com/ssltest/ >> >> 2015-06-13 0:11 GMT-03:00 Renato Botelho : >> On Jun 12, 2015, at 21:56, Paulo Olivier Cavalcanti < >>> procavalca...@gmail.com> wrote: On 12/06/2015 22:21, Renato Botelho wrote: >> On Jun 12, 2015, at 19:37, Paulo Olivier Cavalcanti < >>> procavalca...@gmail.com> wrote: >> >> On 12/06/2015 08:21, Nilton Jose Rizzo wrote: >>> https://www.openssl.org/news/secadv_20150611.txt >>> >> Como substituir o openssl da base pelo do port? > Não existe essa opção no port. > > Só de curiosidade, qual seria a razão? > A razão seria usar uma versão sem vulnerabilidades. Com o ntpd é possível selecionar, através de uma flag, o bin do port ou >>> o bin da base. Eu queria saber se é possível fazer o mesmo com o openssl. Mas já vi que tanto a versão da base do FreeBSD 9.3 (0.9.8.za) quanto >> a >>> do port (1.0.2a) estão vulneráveis, então tanto faz. O jeito é esperar a >>> atualização. >>> >>> A atualização da base já saiu na noite passada - >>> https://www.freebsd.org/security/advisories/FreeBSD-SA-15:10.openssl.asc >>> >>> -- >>> Renato Botelho >> > > # /etc/make.conf > # > PORTS_SSL=yes De onde vem essa opção? dei um grep no /usr/src e não a encontrei. Talvez isso seja específico para algum port? > OPENSSL_PORT=security/libressl > WITH_OPENSSL_PORT=yes Essa opção diz para os ports usarem o openssl do ports ao invés do da base, o que o Paulo tava querendo era substituir o openssl da base pelo do ports. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenSSL vulnerabilidade
On 13/06/2015 16:24, Vinícius Zavam wrote: [...] # /etc/make.conf # PORTS_SSL=yes OPENSSL_PORT=security/libressl WITH_OPENSSL_PORT=yes para fins de conhecimento, apenas. libressl, claro, pode ser substituido por openssl :3 " use por sua conta e risco." Era isso mesmo que eu estava procurando, Vinicius. Valeu! Você tá usando ele? -- http://about.me/paulocavalcanti - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenSSL vulnerabilidade
2015-06-13 10:12 GMT-03:00 Patrick Müller : > Bom, para resolver o primeiro problema, além de atualizar o sistema está > sendo aconselhando usar esses passos https://weakdh.org/sysadmin.html > > E estou pensando em aplicar essa customização no ssh. > https://jbeekman.nl/blog/2015/05/ssh-logjam/ > > Mesmo após a atualização, acho válido aplicar essas configurações de > segurança > > Para testar a solução proposta. https://www.ssllabs.com/ssltest/ > > 2015-06-13 0:11 GMT-03:00 Renato Botelho : > > > > On Jun 12, 2015, at 21:56, Paulo Olivier Cavalcanti < > > procavalca...@gmail.com> wrote: > > > > > > On 12/06/2015 22:21, Renato Botelho wrote: > > >>> On Jun 12, 2015, at 19:37, Paulo Olivier Cavalcanti < > > procavalca...@gmail.com> wrote: > > >>> > > >>> On 12/06/2015 08:21, Nilton Jose Rizzo wrote: > > https://www.openssl.org/news/secadv_20150611.txt > > > > >>> Como substituir o openssl da base pelo do port? > > >> Não existe essa opção no port. > > >> > > >> Só de curiosidade, qual seria a razão? > > >> > > > > > > A razão seria usar uma versão sem vulnerabilidades. > > > > > > Com o ntpd é possível selecionar, através de uma flag, o bin do port ou > > o bin da base. Eu queria saber se é possível fazer o mesmo com o openssl. > > > > > > Mas já vi que tanto a versão da base do FreeBSD 9.3 (0.9.8.za) quanto > a > > do port (1.0.2a) estão vulneráveis, então tanto faz. O jeito é esperar a > > atualização. > > > > A atualização da base já saiu na noite passada - > > https://www.freebsd.org/security/advisories/FreeBSD-SA-15:10.openssl.asc > > > > -- > > Renato Botelho > # /etc/make.conf # PORTS_SSL=yes OPENSSL_PORT=security/libressl WITH_OPENSSL_PORT=yes para fins de conhecimento, apenas. libressl, claro, pode ser substituido por openssl :3 " use por sua conta e risco. " -- Vinícius Zavam profiles.google.com/egypcio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenSSL vulnerabilidade
Bom, para resolver o primeiro problema, além de atualizar o sistema está sendo aconselhando usar esses passos https://weakdh.org/sysadmin.html E estou pensando em aplicar essa customização no ssh. https://jbeekman.nl/blog/2015/05/ssh-logjam/ Mesmo após a atualização, acho válido aplicar essas configurações de segurança Para testar a solução proposta. https://www.ssllabs.com/ssltest/ 2015-06-13 0:11 GMT-03:00 Renato Botelho : > > On Jun 12, 2015, at 21:56, Paulo Olivier Cavalcanti < > procavalca...@gmail.com> wrote: > > > > On 12/06/2015 22:21, Renato Botelho wrote: > >>> On Jun 12, 2015, at 19:37, Paulo Olivier Cavalcanti < > procavalca...@gmail.com> wrote: > >>> > >>> On 12/06/2015 08:21, Nilton Jose Rizzo wrote: > https://www.openssl.org/news/secadv_20150611.txt > > >>> Como substituir o openssl da base pelo do port? > >> Não existe essa opção no port. > >> > >> Só de curiosidade, qual seria a razão? > >> > > > > A razão seria usar uma versão sem vulnerabilidades. > > > > Com o ntpd é possível selecionar, através de uma flag, o bin do port ou > o bin da base. Eu queria saber se é possível fazer o mesmo com o openssl. > > > > Mas já vi que tanto a versão da base do FreeBSD 9.3 (0.9.8.za) quanto a > do port (1.0.2a) estão vulneráveis, então tanto faz. O jeito é esperar a > atualização. > > A atualização da base já saiu na noite passada - > https://www.freebsd.org/security/advisories/FreeBSD-SA-15:10.openssl.asc > > -- > Renato Botelho > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd