Project

General

Profile

Actions

Backport #9870

closed

Please backport r44402

Added by hsbt (Hiroshi SHIBATA) about 10 years ago. Updated about 10 years ago.

Status:
Third Party's Issue
Assignee:
-
[ruby-dev:48257]

Description

セキュリティフィックスのみというステータスですが、debian wheezy でビルドできないようです。

http://chkbuild002.hsbt.org/chkbuild/ruby-1.9.3/log/20140528T031623Z.fail.html.gz

r44402 のバックポートをお願いします.

Updated by usa (Usaku NAKAMURA) about 10 years ago

冷たい言い方をしちゃいますが、これ、リグレッションなのでしょうか?

Updated by hsbt (Hiroshi SHIBATA) about 10 years ago

ディストリビューションの問題なのでリグレッションではないと思います.

Updated by akr (Akira Tanaka) about 10 years ago

対応するかどうかはどっちでもいいと思っているのですが、
なにが起きたのか調べたので書いておきます。

どうも、Debian GNU/Linux wheezy で、libssl-dev のバージョンが上がった際に、
SSL_OP_MSIE_SSLV2_RSA_PADDING というマクロが消えたようですね。

libssl-dev_1.0.1e-2+deb7u7_amd64.deb には存在しますが、
libssl-dev_1.0.1e-2+deb7u9_amd64.deb には存在しません。

調べると、openssl 自身がそういうことをしたようです。
https://github.com/openssl/openssl/commit/dece3209f299ebcd82414868ee39b2c6feb3be0a
なんか、フラグの値を再利用したっぽいですね。
けっこう前から SSL_OP_MSIE_SSLV2_RSA_PADDING は意味のないオプションだったようです。

そして、それはソースコード非互換だということで、後で (値は 0 として) 付け加え直しているようです。
https://github.com/openssl/openssl/commit/3c6c139a07353b9fc4b27feb33a089cca346ce75

Updated by akr (Akira Tanaka) about 10 years ago

  • Status changed from Open to Third Party's Issue

直った感じですね。

openssl (1.0.1e-2+deb7u11) wheezy-security; urgency=medium

  * Update fix for CVE-2014-0224 to work with more renegiotation and
    resumption cases. (Closes: #751093)
  * Fix CVE-2012-4929 (CRiME) by disabling zlib compression by default.
    It can be enabled again by setting the environment variable
    OPENSSL_NO_DEFAULT_ZLIB.  (Closes: #728055)
  * Update ECDHE-ECDSA_Safari.patch to define SSL_OP_MSIE_SSLV2_RSA_PADDING
    again but to 0 so things keep building.  (Closes: #751457)

 -- Kurt Roeckx <kurt@roeckx.be>  Sun, 15 Jun 2014 12:31:21 +0200
Actions

Also available in: Atom PDF

Like0
Like0Like0Like0Like0