Problemi OpenSSL su FC36

Fedora Linux Internet, Reti e Sicurezza
#1

Ciao a tutti!
Da quando ho aggiornato a FC36, OpenSSL presenta 2 problemi:

  1. usando ad esempio Curl si ottiene l’errore “curl: (35) error:0A000152:SSL routines::unsafe legacy renegotiation disabled

Al momento, la soluzione che ho trovato è di modificare il file /etc/ssl/openssl.cnf cercando la stringa "providers = providers_sect” che va commentata. Poi ho configurato come segue:

[openssl_init]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
Options = UnsafeLegacyRenegotiation

  1. dnf rileva il seguente problema:
    Problema: conflicting requests
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.x86_64
  • package openssl1.1-devel-1:1.1.1n-1.fc36.i686 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.x86_64
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.x86_64
  • problem with installed package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64

Che ne dite?

#2

Sembra evidente che ci sia un conflitto tra versioni del pacchetto openssl-devel… o meglio, tra il pacchetto più recente openssl-devel.x86_64 ed il pacchetto openssl1.1-devel.x86_64 che hai attualmente installato sul tuo PC

Potrebbe dipendere dal fatto che hai due differenti versioni di openssl installate, puoi sempre verificare con il comando
dnf list installed 'openssl*'

Dovresti eventualmente decidere se mantenere openssl1.1.x86_64 (io al momento mi trovo installato questo) oppure adottare soltanto openssl.x86_64 che fornisce la versione più recente.

Suppongo che il pacchetto openssl1.1.x86_64 sarà comunque prima o poi sostituito da quello più recente.

#3

Grazie per la risposta! Dunque da dnf ottengo:

[root@bwi7 master]# dnf list installed ‘openssl*’
Pacchetti installati
openssl.x86_64 1:3.0.2-5.fc36 @updates
openssl-gost-engine.x86_64 3.0.0-2.fc36 @fedora
openssl-ibmpkcs11.x86_64 1.0.2-10.fc36 @fedora
openssl-libs.i686 1:3.0.2-5.fc36 @updates
openssl-libs.x86_64 1:3.0.2-5.fc36 @updates
openssl-perl.x86_64 1:3.0.2-5.fc36 @updates
openssl-pkcs11.i686 0.4.11-8.fc36 @fedora
openssl-pkcs11.x86_64 0.4.11-8.fc36 @fedora
openssl1.1.x86_64 1:1.1.1n-1.fc36 @fedora

Se io, nel dubbio, provo a rimuovere tutto (per poi magari fare una installazione ex-novo) ottengo:
[root@bwi7 master]# dnf remove openssl*
Errore:
Problema: The operation would result in removing the following protected packages: sudo

E così mi sono fermato senza forzare per via di quel “protected packages: sudo”…

Cosa mi consigli? Rimuovere magari ad esempio solo i .686 oppure solo openssl1.1.x86_64?

#4

Prova a rimuovere solo questo :point_up_2:

#5

Non so quali possano essere le tue esigenze… se avresti optato per un’installazione pulita di Fedora, probabilmente ti ritroveresti ad utilizzare come versione di default il pacchetto openssl.x86_64 Changes/OpenSSL3.0#Release_Notes.
Anche se openssl1.1.x86_64 è comunque una dipendenza richiesta da alcuni programmi… almeno nel mio caso, viene utilizzata sia da gimp che da keepassxc.

In conclusione, come ha giustamente consigliato @alciregi, potresti rimuovere openssl1.1-devel… sempre che non sia richiesto come dipendenza da qualche altro programma (anche se non lo vedo tra i pacchetti installati).
Altrimenti, per evitare incompatibilità tra versioni e per evitare di dover rimuovere altri programmi dipendenti da openssl1.1.x86_64 penso che, almeno per il momento, sarebbe meglio continuare ad utilizzare la versione meno recente e rimuovere invece openssl.x86_64

#6

Dunque ho disinstallato openssl1.1.
Ma non devel, devel non c’è, mi dice che non c’è alcun pacchetto… e infatti ora ottengo:
[root@bwi7 master]# dnf list installed openssl*
Pacchetti installati
openssl.x86_64 1:3.0.2-5.fc36 @updates
openssl-gost-engine.x86_64 3.0.0-2.fc36 @fedora
openssl-ibmpkcs11.x86_64 1.0.2-10.fc36 @fedora
openssl-libs.i686 1:3.0.2-5.fc36 @updates
openssl-libs.x86_64 1:3.0.2-5.fc36 @updates
openssl-perl.x86_64 1:3.0.2-5.fc36 @updates
openssl-pkcs11.i686 0.4.11-8.fc36 @fedora
openssl-pkcs11.x86_64 0.4.11-8.fc36 @fedora

Tuttavia continuo ad ottenere:
[root@bwi7 master]# dnf install openssl*
Ultima verifica della scadenza dei metadati: 2:42:34 fa il lun 23 mag 2022, 15:57:47.
Il pacchetto openssl-1:3.0.2-5.fc36.x86_64 è già installato.
Il pacchetto openssl-gost-engine-3.0.0-2.fc36.x86_64 è già installato.
Il pacchetto openssl-ibmpkcs11-1.0.2-10.fc36.x86_64 è già installato.
Il pacchetto openssl-libs-1:3.0.2-5.fc36.x86_64 è già installato.
Il pacchetto openssl-libs-1:3.0.2-5.fc36.i686 è già installato.
Il pacchetto openssl-perl-1:3.0.2-5.fc36.x86_64 è già installato.
Il pacchetto openssl-pkcs11-0.4.11-8.fc36.x86_64 è già installato.
Il pacchetto openssl-pkcs11-0.4.11-8.fc36.i686 è già installato.
Errore:
Problema: conflicting requests

  • package openssl1.1-devel-1:1.1.1n-1.fc36.i686 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.x86_64
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.x86_64
  • package openssl1.1-devel-1:1.1.1n-1.fc36.i686 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-4.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.i686 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.i686
  • package openssl1.1-devel-1:1.1.1n-1.fc36.i686 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.x86_64
  • package openssl1.1-devel-1:1.1.1n-1.fc36.x86_64 conflicts with openssl-devel provided by openssl-devel-1:3.0.2-5.fc36.x86_64
    (try to add ‘–allowerasing’ to command line to replace conflicting packages or ‘–skip-broken’ to skip uninstallable packages)

Cioè “devel” mi sembra apparire solo così…

Comunque non è un’installazione pulita, ma un upgrade da fc35 (a sua volta upgrade dai precedenti). E’ un PC dedicato a modelli numerici, non lo uso “general-purpose” per capirci (no gimp, per esempio)…

#7

Aaah
E perché dare questo comando?
Così facendo lui cerca di installare tutti i pacchetti che iniziano con openssl.
Evidentemente openssl-devel 1.1 e 3 non possono convivere e da qui nascono quegli avvisi. Puoi installare o uno o l’altro.

1 Mi Piace
#8

Essendo un poco più che comune utonto non riesco ad andare molto oltre il “general purpose”…

Comunque proprio perché si tratta di un’installazione non pulita, ma aggiornata tramite il metodo dnf-system-upgrade, è ovvio che si porti dietro un sacco di pacchetti che non sarebbero presenti in un’installazione pulita.
È proprio il caso, come avrai avuto modo di constatare, anche di openssl che ha subito uno split. La versione più recente, adottata di dafault da Fedora 36, e quella meno recente che rimane comunque ancora supportata.

L’unica stranezza che mi salta all’occhio è il comando che impartisci per installare openssl (poi ci sarebbe da capirne il motivo, dato che hai già i principali pacchetti installati)
dnf install openssl*

Utilizzando un carattere wildcard come l’asterisco, stai di fatto richiedendo l’installazione di tutti i pacchetti che iniziano per openssl, seguiti da qualsiasi altro carattere… compresi ovviamente i vari openssl-devel, openssl1.1 ed openssl1.1-devel.

Credo sia più che plausibile che cercare di installare due pacchetti alternativi e che confliggono tra di loro sia abbastanza controproducente

1 Mi Piace
#9

Sì hai perfettamente ragione, il motivo è per far “riapparire” quel conflitto e farvelo vedere, perché quando mi si è verificato il problema di cui al punto 1) del post iniziale, ho pensato di fare un dnf reinstall openssl*, quindi di tutti i pacchetti e a quel punto se non ricordo male mi è apparso anche il discorso del punto 2). Per ora funziona tutto, magari con i successivi aggiornamenti si sistemerà, come dicevate. Però vorrei capire il punto 1) sperando che in futuro non sia necessario metterci la “pezza” che ho descritto…

#10

Ma facendo così come hai fatto nel punto 1 il “problema” con curl è risolto, giusto?

#11

Sì, modificando /etc/ssl/openssl.cnf come descritto, al momento funziona tutto.

1 Mi Piace