Как использовать svn-клиент на RHEL5 после того, как сервер отключил SSLv3?

1205
Mikhail T.

Чтобы справиться с недавно обнаруженной уязвимостью POODLE в SSLv3, мы отключили старый протокол на наших серверах, включая сервер хранилища Subversion.

Это сломало svn-клиентов на наших машинах RHEL5 - теперь они сообщают о следующей ошибке:

svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net),

Версия SVN 1.6.11. Та же версия на RHEL6 хороша, так что можно подумать, разница заключается в openssl-библиотеках.

Но Apache, работающий на том же RHEL5-боксе, что и svn-клиент, использует те же библиотеки и обслуживает собственный SSL-трафик без помех (через TLSv1).

Как заставить работать svn-клиент без svn-сервера, поддерживающего SSLv3?

Обновление : Если посмотреть ближе к lddвыводу, я вижу svnсвязи с GNUTLS на RHEL6, но с OpenSSL на RHEL5, что может объяснить разницу. Я до сих пор не понимаю, почему Apache, использующий OpenSSL в той же системе RHEL5, без проблем предлагает TLSv1.

2
Вы уже обновили openssl на коробке RHEL5? Включает ли это обновление или перекомпиляцию SVN? Zoredache 10 лет назад 0
Правильный. Установка простых RPM openssl из RedHat (`openssl-0.9.8e-31.el5_11`) не решила проблему. Также не перекомпилировать Subversion из источника ... Mikhail T. 10 лет назад 0

2 ответа на вопрос

0
f01

Пожалуйста, попробуйте этот обходной путь https://access.redhat.com/solutions/1234843 .

svn-client <- поддерживает SSLv3 -> локальный stunnel <- нет SSLv3 / автоматический возврат к TLS -> SVN-сервер

Некоторые компоненты не предоставляют параметры конфигурации, которые позволяют отключить SSLv3. В настоящее время в эту категорию попадают следующие компоненты:

OpenLDAP

чашки

Можно отключить SSLv3 для этих компонентов, используя stunnel. Stunnel обеспечивает оболочку шифрования между удаленным клиентом и локальным (inetd-startable) или удаленным сервером, используя библиотеку OpenSSL для криптографии. n Чтобы отключить SSLv3 для stunnel, используйте следующие параметры конфигурации в файле stunnel.conf:

options = NO_SSLv2 options = NO_SSLv3 
Это означало бы разрешить незашифрованные соединения на сервере SVN, что мы не можем сделать ... О, хорошо ... Mikhail T. 10 лет назад 0
Связь между локальным stunnel и сервером SVN по-прежнему зашифрована. Это больше не SSLv3, он должен вернуться к TLS. f01 10 лет назад 0
0
Mikhail T.

One solution was to recompile Subversion to use the new version of serf (1.3.8) -- the newest serf does not use SSLv3 either and so can talk to the TLS-only server. However, updating svn-client on dozens of systems is problematic in its own right.

We solved this problem by modifying Apache on the server as described in my answer to my own question on ServerFault. Best of luck.