Closed ftoledo closed 3 years ago
iglosiggio
commented
7 years ago Hacer una build de libssl nuevo con el límite bajado es viable?
Edit: Intenté encontrar dónde están los límites sin poder lograrlo, openssl tiene un codebase increíblemente obtuso
matiasdelellis
commented
7 years ago Nop.. No podemos mantener openssl.. La solución tiene que ser compilar el tpm de forma estática.. (Q no esta dentro de nuestras posibilidades), o hacer un Warper para que levante la version de la libreria que funciona en el mismo paquete..
ftoledo
commented
7 years ago NO. Como dice Mati, lo que podemos probar de hacer es poner los archivos de libssl dentro de éste paquete y usar LD_PRELOAD O cambiar el LD_LIBRARY_PATH solo para éste ejeceutable. Obviamente no la solucion que me gusta EN ABSOLUTO. Pero mientras no tengas forma de compilar el agente, no veo otra alternativa. =(
iglosiggio
commented
7 years ago Lo que quise proponer era un libssl-tdagent (o simil) que tenga un parche que permita esos certificados (sin tener que comerse todos los problemas de seguridad de usar una versión vieja de openssl)
Igual entiendo que tal vez es demasiado trabajo al pedo.
El 9 mar. 2017 3:56 PM, "Fernando Toledo" notifications@github.com escribió:
NO. Como dice Mati, lo que podemos probar de hacer es poner los archivos de libssl dentro de éste paquete y usar LD_PRELOAD O cambiar el LD_LIBRARY_PATH solo para éste ejeceutable. Obviamente no la solucion que me gusta EN ABSOLUTO. Pero mientras no tengas forma de compilar el agente, no veo otra alternativa. =(
— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/HuayraLinux/huayra-tpm/issues/1#issuecomment-285445264, or mute the thread https://github.com/notifications/unsubscribe-auth/ABGeeB8CwqPGSakBB7S1XKwcjMSCVQjLks5rkEs_gaJpZM4MXjTt .
ftoledo
commented
3 years ago Esta version funciona con libssl mas nuevo
El servidor de theftdeterrent (1ra generacion ) en la comunicación con el agente, genera un certificado con 512 bytes de acuerdo a libssl previas a 1.0.1k
En Huayra 3.x (basada en jessie) la version actualizada de libssl (1.0.1t) no acepta por defecto certificados de menos a 768 bytes Esto provoca que el agente no conecte con el servidor y descargue el certificado (de seguridad) correctamente.
Como fix temporal, se puede hacer un downgrade a libssl 1.0.1k Se pueden bajar los paquetes de snapshot.debian.org:
http://snapshot.debian.org/package/openssl/1.0.1k-3%2Bdeb8u5/
Luego instalarlos haciendo:
sudo dpkg -i libssl-dev_1.0.1k-3_amd64.deb libssl1.0.0_1.0.1k-3_amd64.deb openssl_1.0.1k-3_amd64.deb
Como no se pueden compilar el agente (porque no se dispone el source) se está trabajando en probar de adjuntar esas versiones de libssl dentro de éste paquete. Para que no interfiera con la del sistema y se pueda actualizar sin problemas.