Как обновить openssl на FreeBSD?

Question

[Сергей Иванов]

Здравствуйте! Не подскажете, как можно обновить openssl на FreeBSD с консоли, не затрагивая других компонентов системы и не обновляя саму систему? Надо избавиться от Heartbleed. Текущая версия OpenSSL 0.9.8y содержит уязвимость. Служба поддержки хостинга говорит не ставить пакеты с портов. Пробовал обновиться через pkg_add -r openssl по новой ветке. Но в системе даже после перезагрузки остается старая версия OpenSSL.

Answer 1

[Александр Черных]

Служба поддержки хостинга говорит не ставить пакеты с портов

В связи с чем?

Что за версия фри?

Но в системе даже после перезагрузки остается старая версия OpenSSL.

Как Вы это определили?

Comments

[Сергей Иванов]

Не объясняют почему нельзя ставить с портов. После перезагрузки команда openssl version выдает все ту же OpenSSL 0.9.8y 5. Хотя после обновления было сообщение pkg_add: package 'openssl-1.0.1...' or its older version already installed. Пробовал более поздние ветки цеплять, все так же остается...

[Сергей Иванов]

Версия системы 8.4-STABLE FreeBSD

[Александр Черных]

Сергей Иванов: where openssl ?

[Сергей Иванов]

Александр Черных: Не совсем понял вопрос

[Александр Черных]

Сергей Иванов: в командной строке дайте where openssl

[Сергей Иванов]

Александр Черных:
/usr/bin/openssl
/usr/local/bin/openssl
/usr/bin/openssl
/usr/local/bin/openssl

[Александр Черных]

значит всетаки установился

в /etc/make.conf
WITH_OPENSSL_STABLE=YES

и пересобрать нужное

[Сергей Иванов]

я правильно понял: прописать в файле /etc/make.conf строку WITH_OPENSSL_STABLE=YES ? И перезапустить систему?

[Александр Черных]

прописать в файле /etc/make.conf строку WITH_OPENSSL_STABLE=YES - да

потом пересобирите нужный софт. перезапускать не нужно. при инстале/обновлении make.conf каждый рас просматривается make"ом

[Сергей Иванов]

Александр Черных: Спасибо. А что значит пересобрать? Поддержка говорила перезапустить веб-сервер, который использует OPENSSL и всё

[Сергей Иванов]

Александр Черных:
Вы это имеете ввиду?
cd /usr/ports/www/nginx
make config clean
make reinstall clean
service nginx restart

[Александр Черных]

ну, апач или нгинкс собиран с либой (библиотекой) от опенссл098.
Теперь если сделать portupgrade -f apache24 (должен быть установлен portupgrade), то он посмотрит в make.conf и соберет и проинсталирует уже с новым опенссл.

если нет portupgrade, то

cd /usr/ports/www/apache24
setenv FORCE_PKG_REGISTER
make
make install clean

порт апача я написал для примера. Вы ставите то, что там у Вас

пока не пересобирете софт. смысла в новом опенссл нет никакого. он не подменяет системный

папки в /usr/local/ - для пользавательского ПО из портов

[Александр Черных]

Сергей Иванов: както так))) Вы ответили раньше

[Saenara]

cd /usr/ports/www/nginx
make config clean
make reinstall clean

Как-то это, мягко говоря, не сочетается с запретом на установку софта из портов.

[Алексей Животовский]

Александр Черных: У меня похожая ситуация! Показывает рейтинг F. Когда пытаюсь пересобрать с помощью cd /usr/ports/www/nginx/ && make выдает вот такое
nginx-1.10.3_1,2 depends on file: /usr/iports/lib/libcrypto.so.9 - not found
Никак не могу это решить! Есть идеи?

[Александр Черных]

Алексей Животовский:см. ответ в Вашем посте

Answer 2

[res2001]

В /usr/bin стоит openssl, который поставляется из коробки во фре. Он обновляется только апгрейдом системы.
Можно поставить openssl из портов или пакетов, тогда у вас появится второй openssl в /usr/local/bin. Но после этого ваш софт не станет работать с новой версией, т.к. по умолчанию используется системная версия openssl. Пакеты, скорее всего, так же собираются с системной версией.
По уму нужно пересобирать софт из портов с установкой опции в make.conf, как было сказано выше.
Либо апгрейдить систему.
Либо, как совсем уж костыльный вариант, в системных каталогах /usr/bin переименовать все файлы от openssl и создать ссылки на аналогичные файлы из /usr/local/bin. Но не факт, что все будет работать как надо и не отвалится что-то в системе, потому что openssl используется много где.

Answer 3

[kekoz]

Утяни /usr/src и пересобери только /usr/src/secure
Предупреждаю — это может и не проканать...