Aujourd'hui, l' exploit OpenSSL a été annoncé dans la nature, ce qui permet à un attaquant de détecter et de voler subrepticement des clés de serveur privées (en leur permettant de MitM, de déchiffrer vos données cryptées et de voler des mots de passe). Cela concerne les versions OpenSSL, y compris la version 1.0.1f, qui est la version de mon ordinateur Mac Mavericks mis à jour (car j'ai utilisé le port / brassage pour installer un autre logiciel qui a mis à jour mon openssl sans que je m'en rende compte ):
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014
Cela montre que je n'utilise pas la version OpenSSL de Mavericks:
$ which openssl
/opt/local/bin/openssl
OpenSSL a publié un correctif aujourd'hui dans la version 1.0.1g et je me demande comment je peux obtenir cette version corrigée installée sur ma version actuelle.
security
software-update
openssl
dr jimbob
la source
la source
which openssl
pourrait être informatif. En outre, le problème majeur n’est pas la commande openssl, ce sont les bibliothèques openssl (utilisées par d’autres programmes). Celles-ci ne sont pas compatibles avec les API entre les versions 0.9.x et 1.0.x; vous ne souhaitez donc pas mettre à jour bibliothèques openssl fournies par le système!MacPort
à un moment donné sur cette machine qui a mis à jour mon OpenSL. (Probablement quand j'essayais de faire fonctionner python2.7). Il faudrait probablement supprimer cette question, mais pas au cas où d'autres commettraient la même erreur (la grande réponse de SapphireSun serait utile).openssl version
renvoie 1.0.1g, mais vous dites que lesopenssl
commandes n'utilisent pas cette version?Réponses:
Pour ce que ça vaut, je viens d'utiliser homebrew ( http://brew.sh/ ):
Si l’une des mauvaises versions apparaît (1.0.1a-f), vous pouvez déterminer quelle version d’OpenSL vous utilisez, de cette façon:
Cela provient souvent de / usr / bin. Pour vous assurer d'obtenir la version mise à jour, déposez un lien symbolique dans / usr / local / bin pour qu'il pointe vers le fichier openssl mis à jour, comme ceci:
Au lieu de cette dernière étape, certaines personnes remplacent openssl
/usr/bin
par un lien symbolique vers/usr/local/Cellar/openssl/1.0.1g/bin/openssl
(ou quelle que soit votre version):Mais cela est connu pour causer des problèmes avec certaines versions plus récentes d’OSX. Mieux vaut simplement insérer un nouveau lien symbolique dans / usr / local / bin, qui devrait prévaloir sur votre chemin plutôt que / usr / bin.
la source
hash -r
/usr/bin/openssl
, on peut créer le lien à/usr/local/bin/openssl
. Cela devrait précéder/usr/bin
sur votre$PATH
et de contourner les problèmes liés à « la protection du système d' intégrité » dans les nouvelles versions de Mac OS X.Ou pour ceux qui utilisent des ports mac, et ne craignent pas de garder la version
simples :-)
la source
sudo port upgrade outdated
fonctionne aussi.sudo port -f uninstall openssl @<old-version>
fait l'affaire pour moi :)Pour résoudre OCSP Etat demande l' extension croissance de la mémoire non lié (CVE-2016-6304) sur macOS Sierra à l' aide
brew
de la protection de l' intégrité du système activé:Ajustez temporairement les autorisations sur
/usr/local
afin que l'infusion puisse être mise à jour:Installez la version mise à jour de OpenSSL (vous voulez probablement 1.0.2i):
Vous voudrez peut-être / aurez besoin de supprimer un lien symbolique existant vers openssl à partir de
/usr/local/bin
:Re-liez la version de brassage appropriée:
Restaurer les autorisations d'origine sur
/usr/local/bin
:la source
$PATH
variable à regarder/usr/local/bin
?$ openssl version
je reçois ,OpenSSL 0.9.8zh 14 Jan 2016
mais quand je lance que$ brew install openssl
je reçoisWarning: openssl 1.0.2l is already installed
. Est-ce que cela signifie que j'ai deux versions installées? Que dois-je faire exactement maintenant?Quiconque ne veut pas utiliser d'infusion ou de ports et veut juste remplacer l'installation par défaut d'OpenSSL 0.9.8 peut toujours désactiver la protection de l'intégrité du système en redémarrant en mode de récupération (cmd + R) et en émettant
et ensuite compiler openssl avec
Il a réussi à remplacer OpenSSL dans ElCapitan pour moi et j'ai pu compiler curl et httpd 2.4 d'Apache sans aucun problème directement à partir des sources. Le raisonnement derrière la méthode que certains pourraient considérer comme radicale est qu'ElCapitan n'est plus mis à jour par Apple et qu'aucune mise à jour n'est à venir, de sorte qu'elle ne fonctionnera probablement pas. Deuxièmement, cela vous évite de pointer vers le dossier openssl de / usr / local pour chaque programme que vous compilez, ce qui rend la compilation plus robuste.
la source