Openssl EOS

zyx1981 · Beitrag von **zyx1981** » 12 Dez 2023, 10:21

Hallo liebes Opsi-Team,

unser Defender warnt mich seit ein paar Wochen vor Eurer Software hinsichtlich der verwendeten Openssl 1.1.1 Komponenten, die sich nicht mehr im Support befinden - genauer um folgende Dateien:

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin\libcrypto-1_1.dll

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin\libssl-1_1.dll

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin1\libcrypto-1_1.dll

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin1\libssl-1_1.dll

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin2\libcrypto-1_1.dll

c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin2\libssl-1_1.dll

Wäre schön, wenn Ihr diese Altlasten alsbald über Bord schmeißen könntet.

Viele Grüße
Bastian.

Beitrag von **j.schneider** » 12 Dez 2023, 14:31

Hallo,

ab opsi-client-agent_4.3.0.7-1 ist OpenSSL 3 enthalten:

https://opsipackages.43.opsi.org/experi ... 0.7-1.opsi

Grüße
Jan Schneider

Valentino-46 · Beitrag von **Valentino-46** » 14 Dez 2023, 12:08

Hi Jan,

habe den neuen Client installiert und teste den mal. Allerdings bemängelt Microsoft auch bei dieser openssl Version 3.0.9 mehrere Sicherheitslücken.
Plant ihr da gleich auf die 3.2.0 zu gehen?
Wenn ihr mir diese zur Verfügung stellt, dann baue ich die bei mir mal ein und teste es ob noch alles klappt.

Gruß
Valentino

IT Silberform · Beitrag von **IT Silberform** » 16 Feb 2024, 10:03

Hallo,

wir haben ebenfalls das Problem das der Defender meckert. Wäre es möglich die alten OpenSSL DLLs selbstständig zu entfernen oder gibt es noch ein Modul, dass zwingend darauf angewiesen ist?

Gruß
Kay

Beitrag von **n.doerrer** » 22 Feb 2024, 15:34

Welche Datei genau wird angemeckert?
Der im aktuellen stable enthaltene opsiclientd nutzt openssl 3.0.11

IT Silberform · Beitrag von **IT Silberform** » 04 Mär 2024, 15:36

Tatsächlich waren das anscheinend veraltete Clients, aber auch beim neuen Client zeigt sich folgendes:

c:\program files (x86)\opsi.org\opsi-client-agent\opsi-script\libcrypto-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsi-client-systray\libcrypto-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsi-client-systray\libssl-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsi-script\libssl-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin2\libcrypto-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin2\libssl-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin1\libssl-3.dll
c:\program files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin1\libcrypto-3.dll

Es werden CVEs im Rahmen von 3.0.11 angezeigt.
3.0.12 wird empfohlen. Ist aber anscheinend auch erst seit dem 30.01.2024 released.

Beitrag von **n.doerrer** » 08 Mär 2024, 11:11

Aktuell verwenden wir auf unseren build-maschinen libssl 3.0.13. Die kommenden opsiclientd-Versionen enthalten dann diese.

Valentino-46 · Beitrag von **Valentino-46** » 12 Jun 2024, 15:25

Hallo zusammen,

ich habe aktuell die Testing Version mit der libcss und libcrypto 3.0.13 installiert.
Was ich allerdings festgestellt habe ist, dass im opsi-script Verzeichnis ja noch die alte Version von April drin ist.

Kann diese Problemlos auf 3.0.13 aktualisiert werden? Ich könnte das natürlich für mich selbst übernehmen in dem ich das Paket entpacke, austausche und neu paketiere. Wird das funktionieren!?

Falls ihr uns eine Testing stellt, würde ich das Testen bei uns übernehmen und euch Rückmeldung geben, ob alles soweit funktioniert.
Gut wäre nur, dass natürlich auch dort keine alte Version mehr enthalten ist.

Besten Dank vorab,
Viele Grüße,
Valentino

Beitrag von **j.werner** » 13 Jun 2024, 11:46

Hallo Valentino,

danke für den Hinweis. Der nächste opsi-script wir dann OpenSSL in der Version 3.0.14 enthalten.

Valentino-46 hat geschrieben: ↑12 Jun 2024, 15:25 ...
Was ich allerdings festgestellt habe ist, dass im opsi-script Verzeichnis ja noch die alte Version von April drin ist.

Kann diese Problemlos auf 3.0.13 aktualisiert werden? Ich könnte das natürlich für mich selbst übernehmen in dem ich das Paket entpacke, austausche und neu paketiere. Wird das funktionieren!?
...

Ja die sollten auch so problemlos auf 3.0.13 bzw. besser gleich auf 3.0.14 aktualsiert werden können.

Mit freundlichen Grüßen
Jan

Valentino-46 · Beitrag von **Valentino-46** » 13 Jun 2024, 22:31

Hallo Jan,
ich habe gerade das opsi-script Paket entpackt, die DLLs ausgetauscht, die Versionsnummer in der control-file erhöht und mit opsi-makepackage das Paket neu generiert.
Danach habe ich es ins repository geuploaded und auf alle depots installiert.

Ich sehe die korrekten libs auch im depot, allerdings werden die opsi-scripts der clients nicht damit aktualisiert?!
Das passiert doch normalerweise bei jedem Connect des client-agents mit dem Server?

Danke nochmal für eine kurze Unterstützung,
Viele Grüße,
Valentino

forum.opsi.org

Openssl EOS

Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS

Re: Openssl EOS