7 Mayıs 2012 Pazartesi

FreeBSD OpenSSL Yaması

FreeBSD güvenlik ekibi geçyiğimiz günlerde bir OpenSSL güvenlik zaığını kapatan bir yama yayınladılar. Yama OpenSSL'de bir önceki oturumdan kalan bilgilerin karşı tarafa aktarılmasını, OpenSSL sunucu ve istemci arasında gerçekleştirilen iletişim sırasında bir hatanın DOS saldırılarına neden olması ile bazı bulunan açıkları kapatıyor. Yama hem binary hem de kaynak kod olarak edinilebilir. Yamanın kurulabilmesi için freebsd-update(8), csup(1) veya fetch(1) kullanılarak yamaların kurulması gerekiyor. 


freebsd-update(1) ile yamayı binary olarak kurarsanız, sistem hızlı bir şekilde güncellenmiş olacaktır. csup(1) ve fecth(1) ile yamayı kaynak kod olarak indiriyorsanız yamayı sistem uygulamanız gerekecektir. csup(1) bu işlemi otomatik olarak yaptığı için sorun olmayacaktır. fetch(1) ile yamayı indirdikten sonra sistem kaynak kodlarına uygulamanız gerekecektir. Bu aşamadan sonra sistemin yeniden make buildworld ile derlenmesi gerekecektir .Çekirdeğin yeniden derlenmesine gerek olmayacaktır. Bunun istisnası ile GENERİC çekirdek yerine kendi yapılandırmanızı kullanıyosanız çekirdeğin yeniden derlenmesi zorunludur.

Bu aşamadan sonra sistemde ports üzerinden kurulan uygulamalar bulunuyorsa bunların içerisinden OpenSSL statik olarak derlenerek kullananların yeniden derlenerek kurulması gerekmektedir. Bu yapabilmek için de aşağıdaki komut kullanılabilir.Bu komutta kurulumu portupgrade kullanarak gerçekleştiriyorum. Portupgrade kullanmıyorsanız yerine portmaster da kullanabilirsiniz.
tardis# for port in `pkg_info -oaq`; do \
>           grep OPENSSL /usr/ports/$port/Makefile >/dev/null && \
>           pkg_info -qO $port; \
> done | xarg portupgrade -vfrp

Yukarıdaki komut derlenen her bir port için bir paket oluşturup yeniden derlenen portu sisteme yeniden kuracaktır. portupgrade -p parametresini kullanmazsanız paketler oluşturulmadan işlem tamamlanacaktır. Ayrıca -r parametresinin kullanılması durumunda söz konu portlara bağımlı ve kurulmuş olan diğer portlarda yeniden derlenecektir. Bu süreç zaman alıcı olabilir. Sadece statik derlenen portları derlemek için -r parametresini kullanmayın.