libssl1.1 unter Debian 12?

[h4rp00n33r]

Hallöchen zusammen,

auf meinem Homeserver läuft Debian 12. Nun wollte ich mal AirConnect (https://github.com/philippe44/AirConnect) ausprobieren, allerdings benötigt AirConnect die veraltete Bibliothek libssl1.1, die in den normalen Debian 12 Repositories nicht mehr vorhanden ist. Hier gibt es nur noch libssl3.
Ich müsste libssl1.1 somit per Backport oder manuell installieren.

Meine Frage ist nun: Seht Ihr da ein Sicherheitsproblem, die veraltete Bibliothek zu installieren?

Danke im Voraus für Eure Antworten?

[niemand]

Seht Ihr da ein Sicherheitsproblem, die veraltete Bibliothek zu installieren?

Nicht, wenn du 1.1.1 sauber baust und dich um Updates kümmerst:

Note: All OpenSSL versions before 1.1.1 are out of support and no longer receiving updates. Extended support is available for 1.0.2 from OpenSSL Software Services for premium support customers.

Ein Paket wirst du dafür hingegen wohl nicht finden. Schon gar nicht in den Backports – das ist dazu da, neuere Softwareversionen bereitzustellen.

[schorsch_76]

Ich finde hier https://github.com/philippe44/libopenss ... 0761c890fe sehe ich das openssl als git submodule mit 1.1.1 eingebunden ist. Die OpenSSL API ist insgesamt recht stabil. DA könnte man versuchen openssl auf eine aktuelle version zu heben und dann neu zu bauen.

Trotzdem hab ich immer ein schlechtes Gefühl wenn eine Anwendung alle Libs selbst rein zieht und nicht die System Libs nimmt ....

[letzter3]

Vielleicht tut es ein symlink?

[mludwig]

Man könnte auch versuchen die Version aus Bullseye zu installieren.
https://packages.debian.org/bullseye/libssl1.1
entweder hier runterladen und mit dpkg installieren, oder bullseye in die sources.list einfügen und mit pinning/prioritäten sicherstellen, dass wirklich nur der alte libssl-Kram installiert wird. Wenn du Glück hast geht das eventuell sogar parallel zur neuen Version. Libssl1.1 scheint ja mit Version in Paketnamen zu kommen.