122 lines
2.6 KiB
Markdown
122 lines
2.6 KiB
Markdown
|
---
|
||
|
categories: ['Syspatch']
|
||
|
date: 2021-10-01T13:05:16+02:00
|
||
|
description: "Correctif OpenBSD: libressl (DST Root X3 cert)"
|
||
|
draft: false
|
||
|
tags: ['Syspatch','libressl','cert','6.8','6.9']
|
||
|
title: "Syspatch : libressl (DST Root X3 cert) (30/09/2021)"
|
||
|
---
|
||
|
|
||
|
## Correctif de fiabilité : libressl (DST Root X3 cert)
|
||
|
|
||
|
**Compenser l'expiration du certificat DST Root X3. L'utilisation d'un
|
||
|
certificat expiré inutile dans les chaînes de certificats peut provoquer
|
||
|
des erreurs de validation.**.
|
||
|
|
||
|
- Architectures ciblées : toutes les architectures supportées par le
|
||
|
projet OpenBSD.
|
||
|
|
||
|
---
|
||
|
|
||
|
Pour toutes les architectures supportées :
|
||
|
- amd64, arm64, i386 par `syspatch`
|
||
|
- armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par [recompilation](#recompilation)
|
||
|
|
||
|
---
|
||
|
|
||
|
## Syspatch
|
||
|
|
||
|
Cette étape ne concerne que les architectures amd64, arm64, i386.
|
||
|
|
||
|
```ksh
|
||
|
# syspatch
|
||
|
```
|
||
|
|
||
|
Ensuite [redémarrez](#restart) les services nécessaires, si utilisés.
|
||
|
|
||
|
## Recompilation
|
||
|
|
||
|
Pour toute autre architecture prise en charge par le projet OpenBSD, voici
|
||
|
les étapes de recompilation nécessaires :
|
||
|
|
||
|
⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :
|
||
|
|
||
|
- pour 6.9
|
||
|
|
||
|
```ksh
|
||
|
# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/018_cert.patch.sig
|
||
|
# signify -Vep /etc/signify/openbsd-69-base.pub -x 018_cert.patch.sig \
|
||
|
-m - | (cd /usr/src && patch -p0)
|
||
|
```
|
||
|
|
||
|
- pour 6.8
|
||
|
|
||
|
```ksh
|
||
|
# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig
|
||
|
# signify -Vep /etc/signify/openbsd-68-base.pub -x 032_cert.patch.sig \
|
||
|
-m - | (cd /usr/src && patch -p0)
|
||
|
```
|
||
|
|
||
|
⇒ la phase de recompilation :
|
||
|
|
||
|
- pour 6.9
|
||
|
|
||
|
```ksh
|
||
|
$ cd /usr/src/lib/libcrypto
|
||
|
# make obj
|
||
|
# make includes
|
||
|
# make
|
||
|
# make install
|
||
|
$ cd /usr/src/sbin/unwind
|
||
|
# make obj
|
||
|
# make
|
||
|
# make install
|
||
|
```
|
||
|
|
||
|
- pour 6.8
|
||
|
|
||
|
```ksh
|
||
|
$ cd /usr/src/lib/libcrypto
|
||
|
# make obj
|
||
|
# make includes
|
||
|
# make
|
||
|
# make install
|
||
|
$ cd /usr/src/sbin/isakmpd
|
||
|
# make obj
|
||
|
# make
|
||
|
# make install
|
||
|
$ cd /usr/src/sbin/unwind
|
||
|
# make obj
|
||
|
# make
|
||
|
# make install
|
||
|
```
|
||
|
|
||
|
Ensuite [redémarrez](#restart) les services nécessaires, si utilisés.
|
||
|
|
||
|
|
||
|
## Restart
|
||
|
|
||
|
- le service **isakmpd** est à redémarrer, si utilisé, sur 6.8
|
||
|
- le service **unwind** est à redémarrer sur les deux versions, si utilisé.
|
||
|
|
||
|
```ksh
|
||
|
# rcctl restart isakmpd
|
||
|
# rcctl restart unwind
|
||
|
```
|
||
|
|
||
|
---
|
||
|
|
||
|
## Documentations
|
||
|
|
||
|
- https://www.libressl.org/
|
||
|
|
||
|
Plus d'informations sur les pages d'Errata [6.9][1] et [6.8][2]… <br>
|
||
|
*et leurs versions FR respectives : [6.9 FR][3] et [6.8 FR][4].*
|
||
|
|
||
|
---
|
||
|
|
||
|
[1]: https://openbsd.org/errata69.html
|
||
|
[2]: https://openbsd.org/errata68.html
|
||
|
[3]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata69
|
||
|
[4]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata68
|