Pagina 1 di 1

upgrade openssl: ricompilo httpd e dovecot?

Inviato: dom feb 10, 2013 10:14
da roberto67
oggi pat ha rilasciato un upgrade di openssl anche per la 14.0. Io ho un web-server e avendo compilato sia apache che dovecto con opzione ssl mi chiedo se sia opportuno ricompilare i suddetti o meno, anche se il fatto che pat non abbia lui stesso ricompilato apache è già una risposta.. ma dovecot invece?

Re: upgrade openssl: ricompilo httpd e dovecot?

Inviato: dom feb 10, 2013 11:20
da roberto67
quanto meno ci sono dei problemi con proftpd se compilato in questo modo (openssl serve per mod_sftp):

Codice: Seleziona tutto

./configure \
        --prefix=/usr/local \
        --without-pam --disable-auth-pam \
        --enable-openssl \
        --with-modules=mod_ratio:mod_readme:mod_sftp:mod_tls


ho reinstallato i pacchetti originali di openssl* della 14.0 e le cose si sono rimesse a posto..

Edit: l'errore (con client filezilla 3.6.0.1 e proftpd-1.3.4b) in una connessione in ftpes (mod_tls) era questo lato client

Codice: Seleziona tutto

Error:   GnuTLS error -12: A TLS fatal alert has been received.
Error:   Could not connect to server


e questo dal log del server

Codice: Seleziona tutto

Feb 10 11:07:44 mod_tls/2.4.3[25426]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)
Feb 10 11:07:44 mod_tls/2.4.3[25426]: TLS/TLS-C requested, starting TLS handshake
Feb 10 11:07:44 mod_tls/2.4.3[25426]: client supports secure renegotiations
Feb 10 11:07:44 mod_tls/2.4.3[25426]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES128-SHA (128 bits)
Feb 10 11:07:44 mod_tls/2.4.3[25426]: panic: SSL_ERROR_SSL, line 3877:
  (1) error:1408F119:SSL routines:SSL3_GET_RECORD:decryption failed or bad record mac

Re: upgrade openssl: ricompilo httpd e dovecot?

Inviato: mar feb 12, 2013 10:42
da roberto67
le openssl dell'altro ieri sono da buttare, io avevo problemi con alcuni client nelle connessioni SSL/TLS sia con qmail che con proftpd. Con le patch di oggi, come giustamente specificato nel changelog, si risolvono i problemi di data corruption.