
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jun 4, 2014 at 3:33 PM, Lukas Tribus <span dir="ltr"><<a href="mailto:luky-37@hotmail.com" target="_blank">luky-37@hotmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> How to install Nginx from source and avoid the OpenSSL Bug ?<br>

<br>

What openssl bug are you talking about? Debian contains all<br>

important fixes afaik.<br></blockquote><div><br><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">I think 'yarek'</div> <div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">


 tries to build nginx with a 3rd-party program.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">I'd suggest to use either the latest stable (v1.6.0) or mainline (v1.7.1) source.<br>


</div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">v1.4.3 is pretty old now and is deprecated.<br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">


Btw, nginx links the OpenSSL library dynamically, so the bug has never lied inside nginx.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">It depends on the version of OpenSSL which has been used to compile nginx (since using a version other than the one used for compilation at run time might fail/introduce problems).<br>


</div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline"><br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div class="">

> It seems error comes from :<br>

> Planned removal of SSL_OP_MSIE_SSLV2_RSA_PADDING breaks dependent software<br>

> if you are using OpenSSL 1.0.2 or higher.<br>

><br>

> Any idea on how do I fix that ?<br>

<br>

</div>It was already fixed 9 months ago:<br>

<a href="http://hg.nginx.org/nginx/rev/a73678f5f96f" target="_blank">http://hg.nginx.org/nginx/rev/a73678f5f96f</a><br>

<br>

Use a recent nginx tarball.<br></blockquote><div><br><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">'yarek' you could have compared the error message triggered by the source you were using with <a href="http://trac.nginx.org/nginx/browser/nginx/src/event/ngx_event_openssl.c">the current ngx_event_openssl.c source file</a>.<br>


</div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">You would have seen that the deprecation of the constant you triggered is handled, by a check for its existence. Lukas has been kind enough to provide you with the exact commit introducing this change.<br>


</div><br><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">To sump up:<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">- use <a href="http://nginx.org/en/download.html">recent/supported source</a><br>


</div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">- use <a href="https://www.openssl.org/news/secadv_20140407.txt">an unaffected version of OpenSSL</a> when compiling your nginx binary. All major distro (including Debian) have fixed their repositories with corrected versions for a long time now<br>


<font size="1"><span style="color:rgb(102,102,102)"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline"></div>---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b></font></div>


</div></div></div></div>