Onderwerp: Debian gebruikers, opgelet!

In de huidige versie van OpenSSL in Debian Sarge (0.9.7) zit een bug die er voor zorgt dat bij veel Virtual Hosts met SSL ondersteuning Apache 2 crashed (segmentation fault).

Meer informatie vindt je op: http://lists.alioth.debian.org/piper...ch/000689.html

Ik heb hiervoor een aangepaste versie van libssl gemaakt.

Deze kan is te downloaden op: http://crew.pcextreme.nl/files/linux...arge4_i386.deb

Dit is gewoon de libssl van Debian alleen met een kleine patch er over heen. Dit heeft verder geen gevolgen binnen het systeem.

LET OP! Dit geld ALLEEN voor Apache 2, niet als Apache 1.3 wordt gebruikt.

Dit probleem is te herkennen aan het volgende:

strace httpd

Code:

time(NULL)                              = 1169047932
getpid()                                = 4624
open("/dev/urandom", O_RDONLY|O_NONBLOCK|O_NOCTTY) = 1379
select(1380, [1026 1059 1060 1069 1071 1072 1073 1074 1083 1091 1094 1096 1099 1101 1103 1104 1105 1106 1107 1108 1109 1110 1111 1112 1113 1114 1115 1116 1117 1118 1119 1120 1122 1155 1156 1165 1167 1168 1169 1170 1179 1188 1193 1196 1219 1222 1224 1227 1229 1231 1232 1233 1234 1235 1236 1237 1238 1239 1240 1241 1242 1243 1244 1245 1246 1247 1249 1250 1251 1256 1258 1260 1261 1262 1263 1266 1275 1283 1284 1293 1295 1296 1297 1298 1307 1315 1317 1325 1327 1328 1329 1330 1339 1376 1378], NULL, NULL, {0, 10000}) = 168 (in [1025 1029 1031 1033 1034 1036 1038 1042 1043 1045 1046 1047 1048 1049 1050 1052 1053 1054 1055 1061 1070 1075 1076 1077 1078 1079 1080 1081 1082 1084 1085 1086 1087 1093 1094 1096 1097 1101 1104 1105 1106 1115 1120 1122 1155 1156 1165 1167 1168 1169 1170 1179 1219 1222 1224 1227 1229 1231 1232 1233 1234 1235 1236 1237 1238 1239 1240 1241 1242 1243 1244 1245 1246 1247 1249 1250 1251 1256 1258 1260 1261 1262 1263 1266 1275 1283 1284 1293 1295 1296 1297 1298 1307 1315 1317 1325 1327 1328 1329 1330 1339 1376 1378], left {0, 10000})
read(1379, "\3115_\\2`\214\344|\241\351|\366!\350m,\315N\204v\20\231"..., 32) = 32
close(1379)                             = 0
getuid32()                              = 0
time(NULL)                              = 1169047932
--- SIGSEGV (Segmentation fault) @ 0 (0) ---
+++ killed by SIGSEGV +++

Aan het feit dat /dev/urandom wordt geopend kan je afleiden dat daar iets met encryptie gebeurd (ofwel SSL).

Mocht je dus een Apache 2 met segmentation faults hebben, voer dan eerst een strace uit. Zie je een segfault na /dev/urandom, dan heb je last van deze bug.

Installeer dan mijn aangepaste libssl.

Als ik het snel even lees, is dit vooral een probleem van het aantal open files op je systeem (en debian die dit op 1024 zet). Wanneer je virtualhosts gebruikt, en logfiles voor elke host (stel, error en accesslog), dan kan al snel aan je limiet zitten, zelfs zonder SSL te gebruiken (een 500 sites is genoeg).

Bedankt om deze deb beschikbaar te maken!

Ps: even verplaatst naar ST&B, hoort hier beter thuis

Nee, ookal verhoog je je open files limit naar 8192 dan treed het nog steeds op.

Ik had het toevallig van de week nog. Een Apache server kon eerst zijn logs niet openen (max open files bereikt).

Toen ik het limiet van 1024 naar 8192 zette, kreeg ik een segmentation fault op /dev/urandom.

Nadat ik mijn aangepaste libssl installeerde, draaide Apache weer als een zonnetje.

ga je nu eindelijk je widooo-pctr-Ro0tKiT-01a deployen

Oorspronkelijk geplaatst door Mikey

ga je nu eindelijk je widooo-pctr-Ro0tKiT-01a deployen

Nee, dit is gewoon een normale libssl, geen root kit

Even vermelden, dit kan ook relevant zijn op CentOS

Ik heb voor een klant ook eventjes aangepaste rpm versies gemaakt voor openssl stable op centos. (die had zelfde probleem als bij Debian voorkwam). De versie is nu: openssl-0.9.7a-43.14

Let op dat als je deze versie installeert je zeker nakijkt dat je exact dezelfde versie eerder had geinstalleert.

http://temp.servs.eu/wht/centos/openssl/

Getest in combinatie met ssh, exim, Directadmin, Apache2 en php5.2

Ik vind het overigens wel heel vreemd dat een bug zoals deze nog steeds in een belangrijke librarie als OpenSSL zit.

Ik bedoel daarmee dat Debian hem niet update, in OpenSSL 0.9.8 is dit namelijk allang opgelost.

Ik weet niet of ik nou wat doms zeg hoor, maar is het niet gewoon makkelijker om even vanaf de source te upgraden naar 0.9.8 of iets dergelijks?

Wij draaien ook Debian, maar o.a. SSH en de OpenSSL zooi doen we handmatig aangezien Debian (zoals hier boven ook staat) soms best wel traag is qua updates.

Nee, want veel programma's zijn gelinked tegenover OpenSSL 0.9.7 en als je er dan 0.9.8 op gaat zetten kan je leuke bijwerkingen krijgen.

Om die reden ben ik ook veel meer Ubuntu Dapper gaan draaien (draait DirectAdmin trouwens prima onder), daar zijn alle libraries en services een stuk meer up 2 date.