obsd4a
/
www-2
Archived
3
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
This repository has been archived on 2023-06-11. You can view files and clone it, but cannot push or open issues or pull requests.
www-2/content/posts/syspatch-libressl-dst-root-...

2.6 KiB
Raw Blame History

categories date description draft tags title
Syspatch
2021-10-01T13:05:16+02:00 Correctif OpenBSD: libressl (DST Root X3 cert) false
Syspatch
libressl
cert
6.8
6.9
Syspatch : libressl (DST Root X3 cert) (30/09/2021)

Correctif de fiabilité : libressl (DST Root X3 cert)

Compenser l'expiration du certificat DST Root X3. L'utilisation d'un certificat expiré inutile dans les chaînes de certificats peut provoquer des erreurs de validation..

  • Architectures ciblées : toutes les architectures supportées par le projet OpenBSD.

Pour toutes les architectures supportées :

  • amd64, arm64, i386 par syspatch
  • armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par recompilation

Syspatch

Cette étape ne concerne que les architectures amd64, arm64, i386.

# syspatch

Ensuite redémarrez les services nécessaires, si utilisés.

Recompilation

Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires :

⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le :

  • pour 6.9
# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/018_cert.patch.sig
# signify -Vep /etc/signify/openbsd-69-base.pub -x 018_cert.patch.sig \
        -m - | (cd /usr/src && patch -p0)
  • pour 6.8
# wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig
# signify -Vep /etc/signify/openbsd-68-base.pub -x 032_cert.patch.sig \
        -m - | (cd /usr/src && patch -p0)

⇒ la phase de recompilation :

  • pour 6.9
$ cd /usr/src/lib/libcrypto
# make obj
# make includes
# make
# make install
$ cd /usr/src/sbin/unwind
# make obj
# make
# make install
  • pour 6.8
$ cd /usr/src/lib/libcrypto
# make obj
# make includes
# make
# make install
$ cd /usr/src/sbin/isakmpd
# make obj
# make
# make install
$ cd /usr/src/sbin/unwind
# make obj
# make
# make install

Ensuite redémarrez les services nécessaires, si utilisés.

Restart

  • le service isakmpd est à redémarrer, si utilisé, sur 6.8
  • le service unwind est à redémarrer sur les deux versions, si utilisé.
# rcctl restart isakmpd 
# rcctl restart unwind

Documentations

Plus d'informations sur les pages d'Errata 6.9 et 6.8
et leurs versions FR respectives : 6.9 FR et 6.8 FR.