[plamo:34103] Re: openssl-1.1.1 End of Life

["紅屋/山本 伸一"]

山本です。

加藤さん、ご返事ありがとうございます。

On Mon, 3 Apr 2023 22:05:13 +0900
KATOH Yasufumi <karma@xxxxxxxxxxxxxxxx> wrote:

> 加藤です。
> 
> 2023年4月3日(月) 12:23 "紅屋/山本 伸一" <beniya@xxxxxxxxxxxxxx>:
> > 28-Mar-2023  New Blog post: OpenSSL 1.1.1 End of Life
> > https://www.openssl.org/blog/blog/2023/03/28/1.1.1-EOL/
> >
> 「難しい」というのがどう難しいという話だったのかがわからないのでなんと
> も言えないのですが、共存は可能です。そんなに難しい話ではありません。
> 
共存はできるのですね。
なんとなくですが、記憶に残っていたので心配してしまいました。



> コマンドやライブラリーがリンクしている共有ライブラリーは、例えば、開発中の
> 8.0 環境では、
> 
> $ ldd /usr/bin/openssl
> linux-vdso.so.1 (0x00007fffb26f4000)
> libssl.so.3 => /usr/lib/libssl.so.3 (0x00007f5ec3d22000)
> libcrypto.so.3 => /usr/lib/libcrypto.so.3 (0x00007f5ec3800000)
> libc.so.6 => /lib/libc.so.6 (0x00007f5ec3400000)
> /lib/ld-linux-x86-64.so.2 => /lib64/ld-linux-x86-64.so.2 (0x00007f5ec3dee000)
> 
> のように知ることができます。openssl コマンドは、例えば libssl.so.3 を
> 使っているということです。
> 
> この libssl.so.3 ですが、
> 
> $ grep libssl.so.3 /var/log/packages/*
> /var/log/packages/openssl:usr/lib/libssl.so.3
> 
> openssl パッケージに含まれています。上記は Plamo 8.0 開発版で実行して
> いるので、openssl コマンドは 3.0 系です。
> 
> ここで互換性維持のために準備している openssl111 パッケージを見てみると、
> 
> $ grep libssl.so /var/log/packages/openssl111
> usr/lib/libssl.so.1.1
> 
> というふうに libssl というライブラリーは 1.1 と末尾についています。3.0
> をメインにして、1.1.1 を使っているコマンドやライブラリーのために提供し
> なければいけないファイルは、この 1.1 という末尾がついているライブラリー
> のファイルだけです。（これだけではない場合もありますが）
> 
> 1.1.1 を使っているコマンドやライブラリーは、この 1.1 と最後についてい
> るライブラリーを参照しますし、3.0 を使っているコマンドやライブラリーは
> 3 と末尾についたライブラリーを参照します。
> 
> なので、3.0 をインストールしたときに入るファイル群がありますけど、それ
> とかぶるファイルは openssl111 のパッケージからはすべて削除して、必要最
> 低限のファイルだけ準備したのが openssl111 パッケージです。パッケージ内
> 容は /var/log/packages/openssl111 を確認してみてください。
> 
> openssl111 をどのように作っているのか？は
>   https://github.com/plamolinux/Plamo-src/blob/plamo-8.x/plamo/00_base/openssl111/PlamoBuild.openssl-1.1.1t
> を参照してください。
> 
> > またPlamo7.x系の既存システムをOpenssl-3.0系に移行させていく方法も併せて
> > 教えていただけたら幸いです。
> 
> これは非常に難しくて、手順にすると簡単ですが、
> 
> 1. 1.1.1 を残した状態で 3.0 を入れる
>   - 1.1.1 入った状態で 3.0 を make install とかすると結構危険な気もす
>     るので openssl111 みたいなパッケージと 3.0 用のパッケージを作って
>     同時にインストールするのがオススメです
> 2. あとは、1.1.1 を利用しているパッケージをすべて調べあげて、全部ビル
>    ドやり直す
> 
> と気の長い作業になると思います。
> 
> Plamo 8.0 でも、リリース前にすべて 1.1.1 に依存したパッケージを作り直
> す自信はないため、3.0 と 1.1.1 を共存しています。
> 
なるほど。
これはやってみないと、どこまで必要かは分かりませんね。


> > もちろんまだ決定していなくて検討中であれば、それでも結構です。
> >
> > 今年も早くも３ケ月が経過してしまったことを思うと、９月もあっという間に来
> > そうなので、心構えもしていけたらと思いますので、よろしくお願いいたします。
> 
> すみませんが、これはプロジェクトの方針ではなく、私が思っているだけのこ
> とですが、Plamo-7.x を OpenSSL 3.0 化するつもりはありません。8.x に入
> れ替えてね、ってなると思います。
> 
ありがとうございます。

方針さえ分かっていれば、あとは使わせていただく側の責任ですから、問題あり
ません。


> 7.x の方は openssl 1.1.1 に脆弱性が出たら、可能であればしばらくの間は
> 対応したパッケージを出すつもりではいます。公式に EOL になっても、1.1.1
> を使用しているディストリビューションはありますから、パッチは入手できる
> 可能性は高いので。
> 
了解です。
先を考えると openssl-3.0 に対応させておく方が良いと思っていますが、気の
長い話になってくることだけは分かりました。


> 7.x を 8.0 に上げる方法もなくはないです。7.x から 8.x は継続して開発し
> ているので、8.x で更新されたパッケージに全部入れ替えたら、おそらくはちゃ
> んと動くはずです。ただ、何も考えずに updatepkg とかやるとマズい可能性
> もあるので、ちょっと方法は書かないでおきます。何をやるかはっきりわかっ
> た状態で自己責任でやってね、って感じです。
> 
了解しました。
ハードな旅になりそうですが、やるしかなさそうなので、頑張ってみます。

気候が良くなって、朝夕と昼間の気温差が大きく体調管理が大変な時期になりま
した。
皆様も体調管理にご注意ください。
-- 
紅屋/山本 伸一 <beniya@xxxxxxxxxxxxxx>