[erledigt] OpenSSL austauschen

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
TomL

[erledigt] OpenSSL austauschen

Beitrag von TomL » 24.02.2017 21:18:43

Moin

Im Nachgang zu meinen beiden Threads mit den Crypto-Verschlüsselungsproblemen und einem heutigen aktuellen und neuen Problem, wollte ich mal eine weitere Lösung prüfen. Vorab... heute ist es mir nicht gelungen, mit wget eine Datei runterzuladen, zig Versuche, jeder einzelne ist mit diesem bekannten Crypto-Error ssl-bad-mac-read-error und hier -als Terminal-Meldung- mit einem konkreten Hinweis auf Openssl gescheitert.

Ich habe mir also mit 'apt-get source openssl' das Paket runtergeladen, mit der Absicht, das Deb-Paket mit meiner Hardware zu erzeugen... mit der Hoffnung, dass das vielleicht das Problem beseitigen kann. Jetzt habe ich das Deb-Paket, kanns aber nicht installieren, weil mir 'apt-get purge openssl' (die repo-Version) das halbe Stretch deinstalliert.

Wie stelle ich einen Austausch an, ohne mir alles zu zerschießen? Oder reicht es vielleicht aus, das derzeitige Openssl-Binary auf *.org umzubenennen und einfach einen Symlink auf meine neue Version zu erzeugen...?... die in Wahrheit gar nicht so neu ist, sondern die gleiche Version... nur eben auf meinem Rechner kompiliert.
Zuletzt geändert von TomL am 25.02.2017 15:03:38, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: OpenSSL austauschen

Beitrag von DeletedUserReAsG » 24.02.2017 21:38:15

Ich würde dem Paket eine höhere Versionsnummer geben, und es dann als Update übernehmen.

TomL

Re: OpenSSL austauschen

Beitrag von TomL » 24.02.2017 21:54:03

Das wäre eine Möglichkeit.... aber gibts da den Weg zurück? Denn der Nachteil bei meiner Version ist ja, dass ich mich dann ab dem Setup speziell bei einem der wichtigsten Aspekte (Sicherheit) ständig selber um Security-Updates kümmern muss. Das Problem ist, ich will ja nur mal testen, ob die durch meine Hardware optimierte Version immer noch den Fehler produziert. Und falls ja, bleibe ich doch lieber bei der Repo-Version und bin sicher, dass ich noch am Update-Tropf hänge und deshalb keine wichtigen Patches verpenne. Nur das erfordert, dass ich nach dem Test halt wieder zurück kann.

Was anderes wäre es, wenn der Fehler beseitigt wäre. Dann könnte ich 'meine' Version behalten und würde mir nen Serien-Eintrag in den Kalender machen, damit ich vielleicht monatlich ein evtl. Update prüfe. :roll:

DeletedUserReAsG

Re: OpenSSL austauschen

Beitrag von DeletedUserReAsG » 24.02.2017 22:09:29

Ein Downgrade von Paketen sollte möglich sein, ja. Zum Testen würde ich persönlich allerdings ’nen nspawn-Container hernehmen. Ist schnell erstellt und man zerlegt sich das eigentliche System nicht, wenn’s Probleme gibt.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: OpenSSL austauschen

Beitrag von breakthewall » 25.02.2017 04:40:05

TomL hat geschrieben:Moin

Im Nachgang zu meinen beiden Threads mit den Crypto-Verschlüsselungsproblemen und einem heutigen aktuellen und neuen Problem, wollte ich mal eine weitere Lösung prüfen. Vorab... heute ist es mir nicht gelungen, mit wget eine Datei runterzuladen, zig Versuche, jeder einzelne ist mit diesem bekannten Crypto-Error ssl-bad-mac-read-error und hier -als Terminal-Meldung- mit einem konkreten Hinweis auf Openssl gescheitert.
So eine Meldung kann auch eintreten, wenn das Ziel mit dem die Kryptographie ausgehandelt werden soll, gerade angegriffen bspw. mit Anfragen überhäuft wird. Ansonsten wäre es mal hilfreich zu wissen was jeweils herunterladen wolltest, damit man das mal reproduzieren kann.

TomL

Re: OpenSSL austauschen

Beitrag von TomL » 25.02.2017 14:47:13

niemand hat geschrieben:Zum Testen würde ich persönlich allerdings ’nen nspawn-Container hernehmen. Ist schnell erstellt und man zerlegt sich das eigentliche System nicht, wenn’s Probleme gibt.
Es gibt bei Debian mittlerweile nur noch selten Momente, in denen ich noch mal überrascht bin.... aber das war definitiv mal wieder einer, mit einem anerkennenden und staunenden *wow*.

Das war tatsächlich total flott eingerichtet ... und künftig isses mit jetzt eigenem Drehbuch noch viel flotter fertig. Und weil ich keine Absicht hatte, noch ein System ständig upzudaten, kurzerhand nach tmpfs...einfach genial:

Code: Alles auswählen

# ls /tmp | grep d9
drwxr-xr-x 21 root   root    420 2017-02-25 11:51 d9_container
-rw-------  1 root   root      0 2017-02-25 14:14 .#d9_container.lck

# df | grep /tmp
tmpfs                   tmpfs     3,9G    1,1G  2,9G   26% /tmp
breakthewall hat geschrieben:So eine Meldung kann auch eintreten, wenn das Ziel mit dem die Kryptographie ausgehandelt werden soll, gerade angegriffen bspw. mit Anfragen überhäuft wird. Ansonsten wäre es mal hilfreich zu wissen was jeweils herunterladen wolltest, damit man das mal reproduzieren kann.
Nein, Du kannst das nicht reproduzieren.... weils einfach nicht reproduzierbar ist. Das ist meine persönliche unendliche Geschichte in mittlerweile 4 Teilen eins, zwei, drei :oops: :evil:

Aus Neugier (wegen des Ruckelvideo-Threads und der angeblich hohen Auflösung) wollte ich mal testen, obs bei mir auch ruckelt... das war jetzt der aktuelle Anlass. Auf meinem PC ist der Download jedoch nicht möglich, auf jedem anderen PC läuft das ohne Probleme, sogar auf dem RPI... und alle Systeme sind schematisch vollkommen identisch eingerichtet.... als Custom-Distris ohne Standard-Desktop, alle nach gleichem Drehbuch. Das ist ein reines Thomas-sein-eigener-Schrott-PC-Problem. *grrr*

Mit niemand's Unterstützung ist jetzt der nächste Versuch, das Problem zu beheben, als Seifenblase geplatzt:

Zuerst das Problem mit den Standard-Repo-Versionen bestätigen... gleich mehrfach hintereinander Openssl-Fehler:

Code: Alles auswählen

thomas@d9_container:~/Downloads
$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: <urlopen error [SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:720)> (caused by URLError(SSLError(1, '[SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:720)'),))

thomas@d9_container:~/Downloads
$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: [SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:2090) (caused by SSLError(1, '[SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:2090)')); please report this issue on https://yt-dl.org/bug . Make sure you are using the latest version; see  https://yt-dl.org/update  on how to update. Be sure to call youtube-dl with the --verbose flag and include its complete output.

thomas@d9_container:~/Downloads
$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: <urlopen error [SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:720)> (caused by URLError(SSLError(1, '[SSL: DECRYPTION_FAILED_OR_BAD_RECORD_MAC] decryption failed or bad record mac (_ssl.c:720)'),))

thomas@d9_container:~/Downloads
$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
[youtube] HomAZcKm3Jo: Downloading video info webpage
ERROR: unable to download video info webpage: [SSL: SSLV3_ALERT_BAD_RECORD_MAC] sslv3 alert bad record mac (_ssl.c:2090) (caused by SSLError(1, '[SSL: SSLV3_ALERT_BAD_RECORD_MAC] sslv3 alert bad record mac (_ssl.c:2090)')); please report this issue on https://yt-dl.org/bug . Make sure you are using the latest version; see  https://yt-dl.org/update  on how to update. Be sure to call youtube-dl with the --verbose flag and include its complete output.
Nach dem "apt purge openssl" testen, was passiert:

Code: Alles auswählen

$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:720)> (caused by URLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:720)'),))
Nach Install der selbstkompilierten Version:

Code: Alles auswählen

$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo"
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:720)> (caused by URLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:720)'),))
Ohne Cert-Check der gleiche Fehler:

Code: Alles auswählen

$ youtube-dl "https://www.youtube.com/watch?v=HomAZcKm3Jo" --no-check-certificate
[youtube] HomAZcKm3Jo: Downloading webpage
ERROR: Unable to download webpage: <urlopen error [SSL: SSLV3_ALERT_BAD_RECORD_MAC] sslv3 alert bad record mac (_ssl.c:720)> (caused by URLError(SSLError(1, '[SSL: SSLV3_ALERT_BAD_RECORD_MAC] sslv3 alert bad record mac (_ssl.c:720)'),))
Es ist definitiv irgendwas auf meinem Rechner kaputt, inkompatibel oder schlichtweg nicht vernünftig von Linux unterstützt. Das war auf Jessie bereits so, in jedem der zwischenzeitlich installierten Standard-Desktops und jetzt weiter in Stretch. Ich nähere mich langsam der Idee und der Vorstellung eines One-Night-Stands meines 2-Pfünder-Fäustels aus dem Keller und der AMD-CPU im Rechner.

BTW, habe mir den Download vom PI angesehen... was ja das Ziel war.....da ruckelt mit regulär installiertem Stretch und ordentlich installierter Firmware überhaupt gar nix.....

Antworten