Moin zusammen,

folgendes:
meine Version von OpenSSL ist veraltet. (War leicht gechockt nach dem Scan)
Ich bin ja auch nicht von der Faulen sorte und spiele regelmäßig Updates via Yast und apt ein, hat mich aus diesem Grund sehr gewundert. Nur für OpenSSL gibts wohl irgendwie keine Quelle(n). Die RPMS sind alle nicht für meine OS Version. Falls ich mich Irre --> bitte mit mir Schimpfen.

Nun zu den eigendlichen Fragen.
Wenn ich OpenSSL kompeliere, muss ich das Paket "--prefix=/usr shared" konfigurien?
Habe erfahren, dass OpenSSH ebenfalls neu installiert werden muss, ist das konfigurieren mit "./configure --prefix=/usr --sysconfdir=/etc/ssh" richtig?
Muss nochetwas neuinstalliert werden oder angepasst?
Muss ich noch irgendetwas beauchten --> bin nicht so der kompelier Held, vor allem nicht bei Paketen die so viele Verankerungen in andere Pakete haben.
Vor allem wie ist das wenn ich die Aufgaben per SSH erledige, nicht das der mich dann kickt.

Anmerkungen:
OS = Linux Suse 9.0 dedicated Server,
Linux XXXXXX 2.4.29 #3 SMP Tue Feb 15 01:47:49 CET 2005 i686
Apache/2.0.53 (Linux/SUSE)
Loaded Modules core prefork http_core mod_so mod_access mod_actions mod_alias mod_auth mod_auth_dbm mod_autoindex mod_cgi mod_dir mod_env mod_expires mod_include mod_log_config mod_mime mod_negotiation mod_setenvif mod_ssl mod_suexec mod_userdir sapi_apache2 mod_rewrite
PHP/4.3.10
libcurl/7.11.2 OpenSSL/0.9.7b ipv6 zlib/1.1.4
mysql 4.0.15
(wenn was wichtiges vergessen, bitte up die Nase dimmen)


Ich hab zugriff per SSH und über ne serielle console.

mfg
b3ni

meine Version von OpenSSL ist veraltet. (War leicht gechockt nach dem Scan)
Ich bin ja auch nicht von der Faulen sorte und spiele regelmäßig Updates via Yast und apt ein, hat mich aus diesem Grund sehr gewundert.
Wenn du alle Distributionsupdates regelmässig einspielst, besteht trotz älterer OpenSSL-Version keine Gefahr. Sicherheitsfixes werden von deinem Distributor in die alten Versionen zurückportiert. Du brauchst also nicht OpenSSL manuell upzudaten bzw. zu kompilieren.


Nur für OpenSSL gibts wohl irgendwie keine Quelle(n).
Öh, gibt es. Augen auf. ;) http://www.openssl.org/source/

Dank dir erstmal.
Aber ich weiss schon wo ich die Sources herbekomme, um genauzusagen ich hab sie alle schon. Ich habe nur ein bissel Schiss die Dinger einzuspielen, weil auf dem Server 5 Seiten laufen, dabei sind auch welche von Freunden, die sich an den Kosten beteiligen. Muss halt aufpassen, dass ich den Server nit zerschiesse mit den Updates.
Wo steht denn das die Sicherheitsfixes zurückpotiert werden? --> *bisslparanoid* :ugly:
Ausserdem besteht ein generelles Intresse, weil wegen Neugierig und Wissensdurstig. ;)


Deshalb hatte ich gefragt:

1. Wenn ich OpenSSL kompeliere, muss ich das Paket "--prefix=/usr shared" konfigurien?

2. Habe erfahren, dass OpenSSH ebenfalls neu installiert werden muss, ist das konfigurieren mit "./configure --prefix=/usr --sysconfdir=/etc/ssh" richtig?

3. Muss nochetwas neuinstalliert werden oder angepasst?

4. Muss ich noch irgendetwas beauchten --> bin nicht so der kompelier Held, vor allem nicht bei Paketen die so viele Verankerungen in andere Pakete haben.

5. Vor allem wie ist das wenn ich die Aufgaben per SSH erledige, nicht das der mich dann kickt.

greetz
b3ni

--
Ich will ja eigentlich nur das nessus nicht mehr meckert.......

Wo steht denn das die Sicherheitsfixes zurückpotiert werden? --> *bisslparanoid* :ugly:
Im Changelog der einzelnen Pakete (rpm -q changelog paket) und auch in den Security Announcements deiner Distribution, in deinem Fall bei SUSE:
http://www.novell.com/linux/security/advisories.html


Ich will ja eigentlich nur das nessus nicht mehr meckert.......
Ignoriere die Meldung von Nessus. Nessus weiss nicht, ob die Sicherheitslöcher in deinem Paket geschlossen worden sind oder nicht. Es prüft lediglich die Version. Und deshalb ist das Neukompilieren von OpenSSL absolut überflüssig.

Und nochmal fett Dankeschön.
Ich werd jetzt erstmal das Changelog durchlesen und dann die Advisories und mal abwarten was der lahmarschige :mad: Support sagt.

Aber das generelle Intresse an den Kompelieraufgaben bleibt bestehen, also wenn jemand bock hat darauf zu antworten wäre ich dankbar. Das gilt auch für ein gutes Tut oder Howto. Besonderes Intresse habe ich an der prefix geschichte, wie findet ihr denn herraus was ihr dem compiler mit auf den Weg geben müsst? :confused:

best regards and phat thx!
b3ni

Hab jetzt das Changelog durchgewühlt und auch die Security Advisories.
Die Sicherheitsupdates sind nicht zurückportiert worden! Vielleicht liegts daran, dass das Suse Team sich nichtmehr mit den alten Distris abgibt. Wenn ich da jemandem unrecht tue bitte ich um entschuldigung.

Wenn jemand weiss wie man OpenSSL und OpenSSH bei Suse 9.0 auf den neusten stand bringt fände ich es echt supi wenn man mir da ein paar Tips zu meinen Fragen gibt.

mfg b3ni

Mach mal langsam..

SUSE Linux 9.0 ist noch im Support. Das letzte Update von openssl bei SUSE 9.0 war am 17. März 2004:
http://www.novell.com/linux/security/advisories/2004_07_openssl.html

Die aktualisierten Pakete haben die Version:
ftp://ftp.gwdg.de/linux/suse/ftp.suse.com/suse/i386/update/9.0/rpm/i586/openssl-0.9.7b-133.i586_de.info

Wie kommst du jetzt darauf, dass diese Version noch bekannte Sicherheitslöcher hat? Und vor allem welche Sicherheitslöcher?

Na deswegen:


The remote host seem to be running a version of OpenSSL which is older than
0.9.6k or 0.9.7c.

There is a heap corruption bug in this version which might be exploited by
an
attacker to gain a shell on this host.

Solution : If you are running OpenSSL, Upgrade to version 0.9.6k or 0.9.7c
or newer
Risk factor : High


Und im changelog steht nix von nem heap corruption bug der behoben wurde. Und wie du selbst schreibst ist der letzte changlog von März 2004 und das ist schon ne weile her.
Und vorbeugend sag ich mal, ich bin ein trolliger noob und hab keine Ahnung von dem Securityzeuchs, würde nur gerne wissen wenn man ohne mein Wissen ne Shell auf meinem Server bekommen kann und dann da Unfug treiben kann. Beunruhigt mich alles ein wenig.

Und der ******* Support vom Provider hat anscheinend entweder noch viel weniger Ahnung als ich oder denen ist es *******egal wenn in deren Rechenzentrum die Server voller remote holes sind. Denn das was da oben steht ist noch ein Witz degenüber dem ersten Scan wo die ganze Apache und PHP Umgebung als total unsicher und buggig klassifiziert wurde.(Hab ich ja zum Glück schon behoben)

Und wenn ich jetzt nur Müll geschrieben hab oder irgendjemand auf den Schlipps getreten bin, tut mir das leid. --> Dann einfach schreiben: Kopp zu noob --> dann geb ich Ruhe.

mfg b3ni