Backport #9870

Please backport r44402

Added by Hiroshi SHIBATA over 1 year ago. Updated about 1 year ago.

[ruby-dev:48257]
Status:Third Party's Issue
Priority:Normal
Assignee:-

Description

セキュリティフィックスのみというステータスですが、debian wheezy でビルドできないようです。

http://chkbuild002.hsbt.org/chkbuild/ruby-1.9.3/log/20140528T031623Z.fail.html.gz

r44402 のバックポートをお願いします.

History

#1 Updated by Usaku NAKAMURA over 1 year ago

冷たい言い方をしちゃいますが、これ、リグレッションなのでしょうか?

#2 Updated by Hiroshi SHIBATA over 1 year ago

ディストリビューションの問題なのでリグレッションではないと思います.

#3 Updated by Akira Tanaka over 1 year ago

対応するかどうかはどっちでもいいと思っているのですが、
なにが起きたのか調べたので書いておきます。

どうも、Debian GNU/Linux wheezy で、libssl-dev のバージョンが上がった際に、
SSL_OP_MSIE_SSLV2_RSA_PADDING というマクロが消えたようですね。

libssl-dev_1.0.1e-2+deb7u7_amd64.deb には存在しますが、
libssl-dev_1.0.1e-2+deb7u9_amd64.deb には存在しません。

調べると、openssl 自身がそういうことをしたようです。
https://github.com/openssl/openssl/commit/dece3209f299ebcd82414868ee39b2c6feb3be0a
なんか、フラグの値を再利用したっぽいですね。
けっこう前から SSL_OP_MSIE_SSLV2_RSA_PADDING は意味のないオプションだったようです。

そして、それはソースコード非互換だということで、後で (値は 0 として) 付け加え直しているようです。
https://github.com/openssl/openssl/commit/3c6c139a07353b9fc4b27feb33a089cca346ce75

#4 Updated by Akira Tanaka about 1 year ago

  • Status changed from Open to Third Party's Issue

直った感じですね。

openssl (1.0.1e-2+deb7u11) wheezy-security; urgency=medium

  * Update fix for CVE-2014-0224 to work with more renegiotation and
    resumption cases. (Closes: #751093)
  * Fix CVE-2012-4929 (CRiME) by disabling zlib compression by default.
    It can be enabled again by setting the environment variable
    OPENSSL_NO_DEFAULT_ZLIB.  (Closes: #728055)
  * Update ECDHE-ECDSA_Safari.patch to define SSL_OP_MSIE_SSLV2_RSA_PADDING
    again but to 0 so things keep building.  (Closes: #751457)

 -- Kurt Roeckx <kurt@roeckx.be>  Sun, 15 Jun 2014 12:31:21 +0200

Also available in: Atom PDF