[workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

[hikaru]

Kann man irgendwie feststellen, welche OpenSSL-Version in den Binaries verbirgt - "file" liefert da keine Info?

Du könntest sie mit einem Hex-Editor öffnen und dann nach dem Bibliotheksnamen suchen. Da sollte der Kompatibilitätsbereich der Bibliothek drin stehen. Das Ende dieses Intervals ist für gewöhnlich die Version der Bibliothek selbst.
In /usr/lib/i386-linux-gnu/libssl.so.1.1 aus libssl1.1_1.1.0f-3+deb9u1_i386.deb steht z.B. an Adresse 0x0000835F dies:

Code: Alles auswählen

OPENSSL_1_1_0f

Das gibt dir natürlich nur die Upstream-Version. Mögliche rückportierte Fixes wie es z.B. Debian macht [1] erfährst du so z.B. nicht.

[1] http://metadata.ftp-master.debian.org/c ... _changelog

[ingo2]

Die CEWE-Lib's sind ganz schön angestaubt:

Code: Alles auswählen

OPENSSL_1.0.1f

vom 6. Jan 2014
Daß da Fixes/Patches angebracht wurden, bezeifle ich stark. Selbst Wheezy ist schon auf dem Stand 1.0.1t. Da sollte man lieber die Versionen 1.0.1t aus Jessi-security nehmen. Ich hatte zwar die Version angefragt, aber darauf keine Antwort erhalten. Meine Vermutung (da die auch libsnappy benutzen) ist irgendeine alte Version von Canonical.
Libcrypto enthält da natürlicjh noch SSLv2 und v3 wie auch die Jessie-Versionen.

Dann sollte dieser Thread auch der Warnung dienen, die von CEWE später evtl. mitgelieferten Pakete nicht blind einzusetzen, sondern entweder die SymLink-Variante von oben oder (wer SSLv3 unbedingt braucht) die Jessie-Lib's zu nehmen.

[hikaru]

halb-ot:
Ich habe gerade mal deine Threads im CEWE-Supportforum überflogen und muss sagen, dass ich mich als Unbetroffener vorzüglich unterhalten fühlte (die eigentlich für's Wochenende gedachte Chipstüte ist leider schon halb leer).
Ist diese Bananenware wirklich die beste Lösung die einem als Linuxer für den angedachten Zweck (welcher immer das sei) zur Verfügung steht? "Fotobuch" klingt jetzt auch nicht so wirklich nach "rocket science".

[scientific]

Na Immerhin wissen die im Support von Begriffen wie Firewall u. Ä.

Hatt mal den Supportfall, dass mich die Dame fragte, welches Internet (sic!) ich verwende.
Ich sagte ihr Wahrheitsgetreu, dass ich sowohl mit Firefix, Chrome und Internetexplorer den Fehler nachstellen kann.
Ich solle das "Internet" mitteilen. Also nannte ich ihr "internetexplorer 11".
Darauf meinte sie, Wndows wär doch erst bei 10...

Dass sie von meinen Versuchen mit nmap, erreichbaren Ports, und nicht erreichbaren so viel verstand, wie wenn mir ein Spanier von geschlechtsreifen Pekingenten erzählt, wunderte mich dann gar nicht mehr.

Ist es wirklich so schwierig, Leute für den Support zu kriegen, die Windows vom Browser und diesen vom "Internet" unterscheiden können? Besonders wenn man diese an eine technische Suppirthotline setzt...

Lg scientific

[ingo2]

Ist diese Bananenware wirklich die beste Lösung die einem als Linuxer für den angedachten Zweck (welcher immer das sei) zur Verfügung steht? "Fotobuch" klingt jetzt auch nicht so wirklich nach "rocket science".

Ich sag's mal so:
In Vergleichs-Tests hat CEWE immer als einer der "besten" abgeschnitten. Softwareseitig verwendet der aktuelle Testsieger (Pixum) die gleiche Software, meistens in einer älteren Version. Verdienen tun die ihr Geld natürlich mit der Herstellung von Fotobüchern, deren Qualität ist absolut ok. Es ist meines Wissens der einzige Hersteller, der eine Linux-Version mit genau den gleichen Features wie die M$-Versionen hat.

Meine Frau (ein Computer-Dummy) hat schon ca. 20 Fotobücher damit gestaltet, wobei der Schwerpunkt auf gestaltet liegt. Die Bedienung ist intuitiv, der Funktionsumfang beachtlich. Und was ich noch bei keiner anderen Software gefunden habe: alle System-Schriftarten werden auch unter Linux komplett und fehlerfrei eingebunden.

Und da ich jetzt auf deren Laptop von Jessie auf Stretch updaten will, muß ich natürlich sicherstellen, daß
a) die alten Fotobücher weiterhin zu öffnen sind
b) die Software auch wieder ordentlich funktioniert.

Mit anderen Worten: ich habe keine andere Wahl

Ingo

P.S.: Bin auch mal gespannt auf die Kommentare anderer User - nachdem das eigentliche Problen ja gelöst ist!

[hikaru]

Ist es wirklich so schwierig, Leute für den Support zu kriegen, die Windows vom Browser und diesen vom "Internet" unterscheiden können?

Nur dann, wenn man nicht bereit ist die Leute vernünftig zu bezahlen.
Ich kenne jemanden der am Anfang seiner Karriere einige Zeit im 2nd Level bei einem großen Telekommunikationsanbieter gearbeitet hat und für das Geld was er da bekam hätte ich die Arbeit (ungehaltene Kunden, Schicht- und Bereitschaftsdienst) nicht gemacht. Heute schmeißt er im selben Laden Teile der IT und bekommt deutlich mehr. Schicht und Bereitschaft hat er immer noch, aber zumindest die Kunden ist er los.

In Vergleichs-Tests hat CEWE immer als einer der "besten" abgeschnitten.

Unter den Blinden ist der Einäugige König?

Meine Frau (ein Computer-Dummy) hat schon ca. 20 Fotobücher damit gestaltet, wobei der Schwerpunkt auf gestaltet liegt.

Meine Mutter ist der Inbegriff des Computer-Dummys schlechthin. (Ich würde auch DAU sagen, aber sie sucht die Ursachen für ihre Probleme nicht bei anderen.)
Ihre Fotobücher, die ganze Regalwände füllen, macht sie nach wie vor analog mit Stift und Kleber und keiner von uns sieht einen Grund, warum sich das ändern sollte.
Ich finde, Computer sind was Tolles, aber man muss nicht alles damit machen*, insbesondere wenn man die Ansicht nicht teilt.


*) Nägel mit der Maus einzuschlagen ist z.B. äußerst unpraktisch.

[uname]

Am Rande:

Das Beispiel zeigt recht gut warum Ubuntu "Snap Apps" erfunden hat. Warum sollte man ordentlich programmieren lernen, wenn man dem Kunden auch einfach veraltete Bibliotheken mit der Software ausliefern kann. Der Windows-Anwender merkt es nicht und bei Ubuntu gibt es bald auch keine Probleme mehr. Am Ende bleibt nur der dumme Debian-Anwender der auf sein Paketsystem flucht.

[scientific]

Der Segen günstiger Massenspeicher ist gleichzeitig auch deren Fluch...

Als ich studieren begonnen habe, hat ein mir gut Bekannter Mensch bei einem großen deutschen Industriebetrieb zu arbeitgen begonnen. Der erzählte mir von seinem Entwicklungsrechner, auf dem er Microchips entwickelte. Der hatte damals 32GB RAM.

Als er die Zahl nannte (Hab mir grad eine ganz neuen PC zusammengeschraubt und war mit 64MB RAM deutlich am oberen Ende angesiedelt, was in meinem Umfeld so an RAM in Kisten geschraubt wurde), war das für mich so ähnlich, wie wenn heute jemand zu mir kommt und mir erzählt, er hätte ein Monatseinkommen von 15 Milliarden Euro... Ich hab die Zahl zwar wahrgenommen (und mir offenbar gemerkt), aber so richtig vorstellen konnte ich mir das überhaupt nicht...
Ein paar Jährchen zuvor erzählte mir ein Schulkollege, er habe in einer Computerzeitschrift bei einem Freund von einem Entwickler gelesen, der es soeben schaffte, eine Festplatte mit der unvorstellbaren Größe von 1GB zu bauen... das Erstauen meinerseits war ähnlich groß...
Ich hab mir bei meinem 64MB-RAM-Rechner dann eine Platte mit 3,2GB reingeschraubt. Die bekam ich relativ günstig und war die absolut und mit Abstand größte Platte, die ich zum damaligen Zeitpunkt wahrnehmen konnte...

In dieser Zeit spielte natürlich RAM und Festplattenplatz eine entscheidende Größe. Und die Notwendigkeit von shared Librarys war groß. Und ich habe die Diskussion in den letzten Jahren so mitverfolgt... Der Tenor ging eindeutig in die Richtung, dass man diese Library-Hölle endlich beseitigen können möchte. Was ja unter Linux jetzt mit SNAP und FLATPAK zu gelingen scheint. Die warnenden Rufe nach ungefixten Löchern in veralteten Bibliotheken wurden irgendwie immer weggewischt.

Und jetzt ist es halt soweit... Praktisch nutzbare One-Klick-Installation mit ungefixten Löchern und veralteten Protokollen...

Schöne neue Welt.

lg scientific

[ingo2]

Ein paar Jährchen zuvor erzählte mir ein Schulkollege, er habe in einer Computerzeitschrift bei einem Freund von einem Entwickler gelesen, der es soeben schaffte, eine Festplatte mit der unvorstellbaren Größe von 1GB zu bauen... das Erstauen meinerseits war ähnlich groß...

Ich erinnere mich ganau an die Zeiten.
Meine damalige Errungenschaft war eine 1GB Spitfire gefertigt von IBM in Mainz. War sündhaft teuer, mehrere 100DM. Die hatte ein Wide-SCSI-Interface und schaffte sagengafte 6MB/s Durchsatz.
Ich habe die vor Kurzem einem Sammler fügrs Museum gechenkt, er hat bestätigt, daß sie noch heute funktioniert.

Und jetzt ist es halt soweit... Praktisch nutzbare One-Klick-Installation mit ungefixten Löchern und veralteten Protokollen...

Hier nur zu Info meine Antwort an CEWE:

Für mich persönlich ist das Thema jetzt gelöst, aber noch ein wichtiger
Hinweis, falls CEWE diese Libraries als Binär-Dateien mitliefern will
anstatt die Symlinks in einem Script zu erzeugen:

Die von Ihnen erhaltenen libssl und libcrypt sind total veraltet, im
Hex-Editor findet man als Upstream-Version
OPENSSL_1.0.1f vom 6. Jan 2014
Da sind inzwischen zahlreiche Sicherheitslücken bekannt geworden und
auch gepatcht worden. Aktuell ist die Version
1.0.2m vom 2. November 2017

Und mittelfristig sollte man auf OpenSSL 1.1 umstellen.

Die Binaries ohne regelmäßige Sicherheitsupdates den Kunden zu
installieren, ist wirklich nicht empfehlenswert.

Mußte mich dabei arg beherrschen, um nicht zu drastisch zu werdn