--- categories: ['Syspatch'] date: 2021-10-01T13:05:16+02:00 description: "Correctif OpenBSD: libressl (DST Root X3 cert)" draft: false tags: ['Syspatch','libressl','cert','6.8','6.9'] title: "Syspatch : libressl (DST Root X3 cert) (30/09/2021)" --- ## Correctif de fiabilité : libressl (DST Root X3 cert) **Compenser l'expiration du certificat DST Root X3. L'utilisation d'un certificat expiré inutile dans les chaînes de certificats peut provoquer des erreurs de validation.**. - Architectures ciblées : toutes les architectures supportées par le projet OpenBSD. --- Pour toutes les architectures supportées : - amd64, arm64, i386 par `syspatch` - armv7, hppa, landisk, loongson, luna88k, macppc, sparc64 par [recompilation](#recompilation) --- ## Syspatch Cette étape ne concerne que les architectures amd64, arm64, i386. ```ksh # syspatch ``` Ensuite [redémarrez](#restart) les services nécessaires, si utilisés. ## Recompilation Pour toute autre architecture prise en charge par le projet OpenBSD, voici les étapes de recompilation nécessaires : ⇒ Après avoir téléchargé le correctif, vérifiez-le, et appliquez-le : - pour 6.9 ```ksh # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.9/common/018_cert.patch.sig # signify -Vep /etc/signify/openbsd-69-base.pub -x 018_cert.patch.sig \ -m - | (cd /usr/src && patch -p0) ``` - pour 6.8 ```ksh # wget https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig # signify -Vep /etc/signify/openbsd-68-base.pub -x 032_cert.patch.sig \ -m - | (cd /usr/src && patch -p0) ``` ⇒ la phase de recompilation : - pour 6.9 ```ksh $ cd /usr/src/lib/libcrypto # make obj # make includes # make # make install $ cd /usr/src/sbin/unwind # make obj # make # make install ``` - pour 6.8 ```ksh $ cd /usr/src/lib/libcrypto # make obj # make includes # make # make install $ cd /usr/src/sbin/isakmpd # make obj # make # make install $ cd /usr/src/sbin/unwind # make obj # make # make install ``` Ensuite [redémarrez](#restart) les services nécessaires, si utilisés. ## Restart - le service **isakmpd** est à redémarrer, si utilisé, sur 6.8 - le service **unwind** est à redémarrer sur les deux versions, si utilisé. ```ksh # rcctl restart isakmpd # rcctl restart unwind ``` --- ## Documentations - https://www.libressl.org/ Plus d'informations sur les pages d'Errata [6.9][1] et [6.8][2]…
*et leurs versions FR respectives : [6.9 FR][3] et [6.8 FR][4].* --- [1]: https://openbsd.org/errata69.html [2]: https://openbsd.org/errata68.html [3]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata69 [4]: https://wiki.openbsd.fr.eu.org/doku.php/openbsd.org/errata68