Apache 1.3 + mod_ssl + openssl-0.9.8 = core dump

Miroslav Lachman 000.fbsd at quip.cz
Wed Sep 21 19:48:34 CEST 2005


Dan Lukes wrote:
> Miroslav Lachman wrote:
> 
>> Dneska jsem na FreeBSD 4.11 zkusil upgradnout OpenSSL (z portu) na 
>> verzi 0.9.8, rekompiloval jsem i Apache13+mod_ssl, ale pri pokusu o 
>> spusteni `apachectl startssl` projede vsechny includovane konfigurace 
>> virtualu a misto spusteni vyhodi:
>> Segmentation fault (core dumped)
> 
> 
>     Muj laicky odhad je, ze Apache (ci spise mod_ssl) pouzil pri 
> prekladu header soubory zakladni OpenSSL verze a tak mu pak pri volani 
> prilinkovane "nove" knihovny nesedi datove struktury.

Zakladni OpenSSL jsem ze systemu vykostil a mam tam jen tu verzi z portu

>     Druha moznost je, ze's sice upgradoval OpenSSL, nikoli vsak 
> Apache13+modssl (mluvis pouze o rekompilaci, nikoli o upgrade). OpenSSL 
> 0.9.8 vyzaduje mod_ssl nejmene verze 2.8.23 (lepe 2.8.24). Je treba 
> proverit, ze port apache uz je upraven tak, aby pouzival tyto verze.

Apache uz vic upgradnout nesel - byl tam / je tam 
apache+mod_ssl-1.3.33+2.8.24_1

>     Nejsnazsim resenim je ale, IMHO, nahlednout, ze OpenSSL 0.9.8 
> neprinasi nic, co bys potreboval a tak je upgrade na nej jen zbytecnou 
> komplikaci neb neopravuje zadne chyby, ktere by se tykaly provozu v tvem 
> konkretnim pripadu.

Me spis pak pri zkoumani toho OpenSSL prekvapilo, ze je v Makefile volba 
WITH_OPENSSL_097 - jako by snad i nekdo tusil problemy s 0.9.8

>     (Osoby, ktere povazuji vlastnost "je to nova verze" za vyhodu "per 
> se" mi tento nazor laskave prominou ... ;-) )
> 
>     Druha moznost je presvedcit se, ze se prekladaji ty spravne a 
> navzajem k sobe pasujici verze vseho a pri prekladu se skutecne 
> pouzivaji ty spravne verze header souboru.
> 
>     Nelze, samozrejme, pominout ani moznost, ze je proste v kodu OpenSSL 
> a/mebo mod_ssl chyba, ktera muze byt takoveho razu, ze se projevuje jen 
> za nejakych specifickych podminek, ktere jsou splneny prave u tebe, ale 
> ne u jinych. V takovem pripade zadnou obecnou radu neznam ...
> 
>     Prelozit v ladicimi informacemi, po padu natahnout vznikly 
> core-dump, vypsat si 'bt' a zkusit odhadnout v cem je problem. To uz ale 
> vyzaduje urcity cvik.

Tohle uz je pro me bohuzel "spanelska vesnice", takze do toho se poustet 
nebudu... asi mam opravdu hodne specificke prostredi prave proto, ze mam 
verzi z portu a puvodni jsem vykostil. Spousta lidi ma treba taky verzi 
z portu, ale zaroven jim v systemu hnije i puvodni (stara/derava) - diky 
tomu, ze jsem puvodni vykostil, jsem narazil uz i na problem s proftpd, 
ktere taky neslo oproti verzi z portu zkompilovat. Asi uz si pro priste 
OpenSSL z portu instalovat nebudu :]

> 
>                         Dan
> 



More information about the Users-l mailing list