Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie Freebox OS
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.0.5
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Neustradamus (Neustradamus_) - 08/12/2019
Dernière édition par Maxime Bizon (mbizon) - 07/08/2020

FS#29351 - [Tous les Freebox Server] Demande de mise à jour: openssl 1.0.2q (EOL - fin de vie)

OpenSSL 1.0.2 en fin de vie (EOL) au 31 décembre 2019, ne sera plus supporté comme la branche 1.1.0 depuis le 11 septembre 2019, etc.
La dernière version actuelle est la 1.0.2t (1.0.2q → 1.0.2r → 1.0.2s → 1.0.2t) mais suite à une nouvelle faille récente, il va avoir la 1.0.2u.

Au 8 décembre 2019, je redemande donc de mettre à jour openssl (les dernières versions stables) :
- 1.0.2q (2018-11-20) → 1.0.2t (2019-09-10) (en fin de vie à la fin de ce mois de décembre 2019 donc peu d’intérêt)
- 1.1.0l (2019-09-10) → déjà en fin de vie (depuis le 11 septembre 2019) donc peu d’intérêt
- 1.1.1d (2019-09-10)

Il va avoir rapidement :
- 1.0.2r (en fin de vie à la fin de ce mois donc peu d’intérêt)
- 1.1.1e

Il est préférable d’aller en 1.1.1 pour bénéficier du TLS 1.3.
Avant de partir sur le futur OpenSSL 3.0.0.

https://www.openssl.org/blog/blog/2019/11/07/3.0-update/

https://www.openssl.org/policies/releasestrat.html

https://www.openssl.org/news/vulnerabilities.html

https://www.cvedetails.com/vulnerability-list/vendor_id-217/product_id-383/Openssl-Openssl.html

https://www.openssl.org/

Déjà signalé dans le ticket indiquant que le site floss.free.fr n’est pas à jour avec la version des firmwares des Freebox
- https://dev.freebox.fr/bugs/task/22518 (j’avais aussi indiqué que le code n’était pas à jour non plus, failles de sécurité)

Dans un ticket qui a été clôturé sans raison:
- https://dev.freebox.fr/bugs/task/25773

Close par  Maxime Bizon (mbizon)
Friday 7 August, 2020 13:56:12
Raison de clôture :  Doublon
Commentaires supplémentaires de clôture :  faites un topic unique

Cette tache ne dépend pas d'autre tache

Neustradamus (Neustradamus_)
Wednesday 18 December, 2019 06:30:24

Pour info, un rappel officiel et l’annonce de la dernière version qui ne sera plus supportée :

The OpenSSL project team would like to announce the forthcoming release
of OpenSSL version 1.0.2u

This release will be made available on Friday 20th December 2019 between
1300-1700 UTC. This will contain one LOW severity fix for CVE-2019-1551
previously announced here:
https://www.openssl.org/news/secadv/20191206.txt

Please see the following page for further details of severity levels:
https://www.openssl.org/policies/secpolicy.html

This is expected to be the last 1.0.2 release before its End Of Life
date on 31st December 2019.

Neustradamus (Neustradamus_)
Friday 20 December, 2019 13:45:13

Dernière version d’OpenSSL 1.0.2 (EOL, fin de vie le 31 décembre 2019) est sortie de ce jour :
- OpenSSL 1.0.2u (2019-12-20)

Rappel : Il faut passer sur la branche 1.1.1.

Neustradamus (Neustradamus_)
Tuesday 31 March, 2020 14:48:06

OpenSSL 1.1.1f (2020-03-31)
- https://www.openssl.org/

Neustradamus (Neustradamus_)
Tuesday 21 April, 2020 14:09:21

OpenSSL 1.1.1g (2020-04-21)
- https://openssl.org

Neustradamus (Neustradamus_)
Wednesday 15 July, 2020 16:37:52

Attention, Freebox OS 4.2.0 a seulement OpenSSL 1.1.1d, et non la dernière 1.1.1g (2020-04-21), à mettre à jour rapidement ! https://www.openssl.org/news/vulnerabilities.html

Chargement...