我使用的是 Ubuntu 14.04,但无法启动freeradius
守护进程 (freeradius-server-3.0.9)。我遇到了这个无法解决的错误:
Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set
security.allow_vulnerable_openssl = 'CVE-2014-0160'
dpkg -l | grep openssl
ii libgnutls-openssl27:i386 2.12.23-12ubuntu2.2 i386 GNU TLS library - OpenSSL wrapper
ii openssl 1.0.1f-1ubuntu2.15 i386 Secure Sockets Layer toolkit - cryptographic utility
ii python-openssl 0.13-2ubuntu6 i386 Python 2 wrapper around the OpenSSL library
apt-cache policy freeradius
freeradius:
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages
apt-cache policy libssl1.0.0:i386
Installed: (none)
Candidate: 2.1.12+dfsg-1.2ubuntu8.1
Version table:
2.1.12+dfsg-1.2ubuntu8.1 0
500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
2.1.12+dfsg-1.2ubuntu8 0
500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages
答案1
显然,它freeradius
所做的只是根据操作系统上 OpenSSL 返回的版本字符串进行检测。不幸的是,该版本字符串没有考虑 Ubuntu 或 Debian 修订号。
Ubuntu 安全更新通常通过包中的样式更改日志条目放入-#ubuntu#
,并且要安装的具有安全更新的包来自存储RELEASE-security
库,其中RELEASE
是您所使用的 Ubuntu 版本的代号。
因此,我们必须检查特定的 CVE,并检查 Ubuntu 安全团队的 CVE 跟踪器。 Ubuntu 安全团队跟踪器中有关 Heartbleed CVE(CVE-2014-0160)的详细说明页面表示以下版本已应用补丁来修复 OpenSSL Heartbleed 问题:
- 精确:已在软件包
openssl
版本中修复1.0.1-4ubuntu5.12
- Trusty:已在软件包
openssl
版本中修复1.0.1f-1ubuntu2
如果您已从安全存储库中提取了所有 OpenSSL 更新,并且至少1.0.1f-1ubuntu2
安装了 OpenSSL(并且您提供的信息表明已1.0.1f-1ubuntu2.15
安装),那么一切都会顺利。
如果上述情况与您的情况相符,那么您可以按照错误消息提供的说明进行操作,并将此行放到位,可能作为配置文件的一部分:security.allow_vulnerable_openssl = 'CVE-2014-0160'
答案2
这是对@“Thomas Ward”的回答的一个小小后续。
要编辑的配置文件是:
radiusd.conf
编辑内容如下:
security {
[...]
#allow_vulnerable_openssl = no
allow_vulnerable_openssl = 'CVE-2016-6304'
}