
<div dir="ltr">Thanks Jakob for the detailed info.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 11, 2016 at 7:50 AM, Jakob Bohm <span dir="ltr"><<a href="mailto:jb-openssl@wisemo.com" target="_blank">jb-openssl@wisemo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 10/02/2016 22:46, cloud force wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi Everyone,<br>

<br>

I installed the FIPS capable openssl library (which was built by myself) on my Ubuntu linux box.<br>

<br>

For some reason, I keep running into the following errors whenever I run ssh related command:<br>

<br>

<br>

    ssh: /lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version<br>

    information available (required by ssh)<br>

<br>

<br>

The same error happens when I ran openssl command such as the following:<br>

<br>

linux-fips@ubuntu:/usr/local/ssl/lib$ openssl ciphers -v | wc -l<br>

openssl: /lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by openssl)<br>

openssl: /lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by openssl)<br>

openssl: /lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /lib/x86_64-linux-gnu/libssl.so.1.0.0)<br>

openssl: /lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /lib/x86_64-linux-gnu/libssl.so.1.0.0)<br>

<br>

</blockquote></span>

The Debian-family (includes Ubuntu) standard OpenSSL shared<br>

libraries is built in a special way to include "version tags"<br>

in the resulting .so files, and all the openssl-needing<br>

binaries in Debian/Ubuntu/etc. produce the error message<br>

above if you install copies of those libraries without those<br>

extra "version tags".<br>

<br>

There are two alternative ways to solve this:<br>

<br>

A) Build your FIPS-cabable OpenSSL (not the FIPScanister)<br>

  with all the extra steps and patches in the Ubuntu OpenSSL<br>

  source package (.dsc etc.), just adding the FIPS canister.<br>

   Note that some of the patches in the source package are<br>

  backports of the security fixes included in the latest<br>

  OpenSSL versions, you'll probably have to figure out the<br>

  details yourself (unless Kurt Roeckz posts a recipe<br>

  somewhere).<br>

<br>

B) Patch your FIPS-capable OpenSSL makefile (not the<br>

  FIPScanister makefile) to use a different .so-version, such<br>

  as .so.1.0.2 .  Then your private openssl build will not be<br>

  used by the prepackaged software while software explicitly<br>

  compiled against your locally build OpenSSL will not<br>

  accidentally pick up the standard non-FIPS OpenSSL.<br>

<br>

<br>

<br>

Enjoy<br>

<br>

Jakob<span class="HOEnZb"><font color="#888888"><br>

-- <br>

Jakob Bohm, CIO, Partner, WiseMo A/S.  <a href="https://www.wisemo.com" rel="noreferrer" target="_blank">https://www.wisemo.com</a><br>

Transformervej 29, 2860 Søborg, Denmark.  Direct <a href="tel:%2B45%2031%2013%2016%2010" value="+4531131610" target="_blank">+45 31 13 16 10</a><br>

This public discussion message is non-binding and may contain errors.<br>

WiseMo - Remote Service Management for PCs, Phones and Embedded<br>

<br>

-- <br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>

</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Thanks,<div>Rich</div><div><br></div></div></div>

</div>