freeradius 拒绝启动,因为它说 OpenSSL 存在漏洞

tag-icon tag-icon security openssl radius
freeradius 拒绝启动,因为它说 OpenSSL 存在漏洞

我使用的是 Ubuntu 14.04,但无法启动freeradius守护进程 (freeradius-server-3.0.9)。我遇到了这个无法解决的错误:

Refusing to start with libssl version OpenSSL 1.0.1f 6 Jan 2014    
0x1000106f (1.0.1f release) (in range 1.0.1 dev - 1.0.1f release)
Security advisory CVE-2014-0160 (Heartbleed)
For more information see http://heartbleed.com
Once you have verified libssl has been correctly patched, set    
security.allow_vulnerable_openssl = 'CVE-2014-0160'

dpkg -l | grep openssl

ii  libgnutls-openssl27:i386                              2.12.23-12ubuntu2.2                                 i386         GNU TLS library - OpenSSL wrapper
ii  openssl                                               1.0.1f-1ubuntu2.15                                  i386         Secure Sockets Layer toolkit - cryptographic utility
ii  python-openssl                                        0.13-2ubuntu6                                       i386         Python 2 wrapper around the OpenSSL library

apt-cache policy freeradius

freeradius:
  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table:
     2.1.12+dfsg-1.2ubuntu8.1 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main i386 Packages

apt-cache policy libssl1.0.0:i386

  Installed: (none)
  Candidate: 2.1.12+dfsg-1.2ubuntu8.1
  Version table: 
     2.1.12+dfsg-1.2ubuntu8.1 0 
        500 http://us.archive.ubuntu.com/ubuntu trusty-updates/main i386 Packages
     2.1.12+dfsg-1.2ubuntu8 0
        500 http://us.archive.ubuntu.com/ubuntu trusty/main i386 Packages

答案1

显然,它freeradius所做的只是根据操作系统上 OpenSSL 返回的版本字符串进行检测。不幸的是,该版本字符串没有考虑 Ubuntu 或 Debian 修订号。

Ubuntu 安全更新通常通过包中的样式更改日志条目放入-#ubuntu#,并且要安装的具有安全更新的包来自存储RELEASE-security库,其中RELEASE是您所使用的 Ubuntu 版本的代号。

因此,我们必须检查特定的 CVE,并检查 Ubuntu 安全团队的 CVE 跟踪器。 Ubuntu 安全团队跟踪器中有关 Heartbleed CVE(CVE-2014-0160)的详细说明页面表示以下版本已应用补丁来修复 OpenSSL Heartbleed 问题:

  • 精确:已在软件包openssl版本中修复1.0.1-4ubuntu5.12
  • Trusty:已在软件包openssl版本中修复1.0.1f-1ubuntu2

如果您已从安全存储库中提取了所有 OpenSSL 更新,并且至少1.0.1f-1ubuntu2安装了 OpenSSL(并且您提供的信息表明已1.0.1f-1ubuntu2.15安装),那么一切都会顺利。

如果上述情况与您的情况相符,那么您可以按照错误消息提供的说明进行操作,并将此行放到位,可能作为配置文件的一部分:security.allow_vulnerable_openssl = 'CVE-2014-0160'

答案2

这是对@“Thomas Ward”的回答的一个小小后续。

要编辑的配置文件是:

radiusd.conf

编辑内容如下:

security {
    [...]
    #allow_vulnerable_openssl = no
    allow_vulnerable_openssl = 'CVE-2016-6304'
    }

相关内容