Quitter le forum et retourner au site

OpenSSL sur Debian 12

Venez nous en parler, c'est ici que l'on vous conseillera !
Répondre
Avatar de l’utilisateur
le Manchot Masqué
Administrateur du site
Messages : 776
Inscription : lun. 26 mai 2008, 21:05
Distribution : Debian, Ubuntu
Niveau : Moitié plein !
Localisation : Guebwiller

OpenSSL sur Debian 12

Message par le Manchot Masqué »

J'ai remarqué un curieux bug sur Debian 12. Quand on travaille avec ipv6.disable=1 dans /etc/default/grub, pour désactiver tout le trafic IPv6 côté noyau, OpenSSL est tout bonnement incapable de démarrer en écoute sur un port IPv4.
Ainsi la ligne de démarrage d'un serveur OCSP :

Code : Tout sélectionner

strace -e socket openssl ocsp -index /root/index.txt -CA /root/CA_AUTORITE.crt -port 80 -rsigner /root/ocsp.mondomaine.fr.crt -rkey /root/ocsp.mondomaine.fr.pem -text
renvoie

Code : Tout sélectionner

socket(AF_NETLINK, SOCK_RAW|SOCK_CLOEXEC, NETLINK_ROUTE) = 3
socket(AF_INET6, SOCK_STREAM, IPPROTO_TCP) = -1 EAFNOSUPPORT (Famille d'adresses non supportée par le protocole)
ocsp: Error starting accept
4047B3D4E77F0000:error:80000061:system library:BIO_socket:Address family not supported by protocol:../crypto/bio/bio_sock2.c:50:calling socket()
4047B3D4E77F0000:error:10000076:BIO routines:BIO_socket:unable to create socket:../crypto/bio/bio_sock2.c:52:
4047B3D4E77F0000:error:80000061:system library:acpt_state:Address family not supported by protocol:../crypto/bio/bss_acpt.c:235:calling socket(::, 80)
4047B3D4E77F0000:error:10000076:BIO routines:acpt_state:unable to create socket:../crypto/bio/bss_acpt.c:238:
+++ exited with 1 +++
J'ai bien entendu essayé des options glanées sur la toile, la plupart ne sont pas compilées dans la version utilisée ou n'ont aucun effet :

Code : Tout sélectionner

# openssl version
OpenSSL 3.0.16 11 Feb 2025 (Library: OpenSSL 3.0.16 11 Feb 2025)
Pour un logiciel aussi critique, ce n'est pas très sérieux, et ça rappelle le trou de sécurité d'OpenSSL découvert il y a quelques années, où même un débutant en programmation voyait la faute évidente dans le code source, démontrant que la NSA avait bien travaillé, et que les chercheurs européens en sécurité n'avaient pas fait leur boulot, sûrement trop pris par leurs thérapies de groupes et leurs rapports PDF géants que personne ne lit jamais ! Et quand bien même : intégrer les conseils de ces braves gens, ce sont des jours et des semaines de travail que la plupart de nos PME/PMI ne peuvent se payer... Ce serait pourtant si simple s'ils codaient enfin des "rustines" prêtes à l'emploi, et servaient réellement à quelque chose...
Haut
Répondre

Revenir à « Un problème ? »