2

Чтобы справиться с недавно обнаруженной уязвимостью POODLE в SSLv3, мы отключили старый протокол на наших серверах, включая сервер хранилища Subversion.

Это сломало svn-клиентов на наших машинах RHEL5 - теперь они сообщают о следующей ошибке:

svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net) .

Версия SVN 1.6.11. Та же версия на RHEL6 хороша, так что можно подумать, разница заключается в openssl-библиотеках.

Но Apache, работающий на том же RHEL5-боксе, что и svn-клиент, использует те же библиотеки и обслуживает собственный SSL-трафик без помех (через TLSv1).

Как заставить работать svn-клиент без svn-сервера, поддерживающего SSLv3?

Обновление: При более внимательном рассмотрении вывода ldd я вижу, что svn связывается с GNUTLS на RHEL6, но с OpenSSL на RHEL5, что может объяснить разницу. Я до сих пор не понимаю, почему Apache, использующий OpenSSL в той же системе RHEL5, без проблем предлагает TLSv1.

2 ответа2

0

Пожалуйста, попробуйте этот обходной путь https://access.redhat.com/solutions/1234843.

svn-client <- поддерживает SSLv3 -> локальный stunnel <- нет SSLv3 / автоматический возврат к TLS -> SVN-сервер

Некоторые компоненты не предоставляют параметры конфигурации, которые позволяют отключить SSLv3. В настоящее время в эту категорию попадают следующие компоненты:

OpenLDAP

чашки

Можно отключить SSLv3 для этих компонентов, используя stunnel. Stunnel обеспечивает оболочку шифрования между удаленным клиентом и локальным (inetd-startable) или удаленным сервером, используя библиотеку OpenSSL для криптографии. n Чтобы отключить SSLv3 для stunnel, используйте следующие параметры конфигурации в файле stunnel.conf:

options = NO_SSLv2
options = NO_SSLv3
0

Одним из решений было перекомпилировать Subversion для использования новой версии serf (1.3.8) - новейший serf также не использует SSLv3 и поэтому может общаться с сервером только для TLS. Однако обновление svn -client на десятках систем само по себе проблематично.

Мы решили эту проблему, изменив Apache на сервере, как описано в моем ответе на мой собственный вопрос о ServerFault. Удачи.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .