Wie verwende ich svn-client auf RHEL5, nachdem der Server SSLv3 deaktiviert hat?

1264
Mikhail T.

Um die kürzlich entdeckte POODLE-Sicherheitsanfälligkeit in SSLv3 zu beheben, haben wir das alte Protokoll auf unseren Servern deaktiviert, einschließlich des Subversion-Repository-Servers.

Dies hat die svn-clients auf unseren RHEL5-Rechnern gebrochen - sie melden jetzt den folgenden Fehler:

svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net).

Die SVN-Version ist 1.6.11. Dieselbe Version von RHEL6 ist in Ordnung, so könnte man meinen, der Unterschied liegt in den openssl-Bibliotheken.

Aber Apache, der auf derselben RHEL5-Box läuft wie der svn-client, verwendet dieselben Bibliotheken und stellt seinen eigenen SSL-Verkehr ohne Zwischenfälle bereit (über TLSv1).

Wie kann ich svn-client funktionieren lassen, ohne dass der svn-server SSLv3 unterstützt?

Update : Wenn lddich mir die Ausgabe svngenauer ansehe, sehe ich diese Verbindungen mit GNUTLS auf RHEL6, aber OpenSSL auf RHEL5, was den Unterschied ausmachen kann. Ich verstehe immer noch nicht, warum Apache, der OpenSSL auf demselben RHEL5-System verwendet, kein Problem mit TLSv1 hat.

2
Haben Sie bereits das openssl auf der RHEL5-Box aktualisiert? War dies das Aktualisieren oder Neukompilieren von SVN? Zoredache vor 10 Jahren 0
Richtig. Durch die Installation der nur eine Woche alten RPMs von OpenSL von RedHat (`openssl-0.9.8e-31.el5_11`) konnte das Problem nicht gelöst werden. Subversion aus Quelle nicht neu kompilieren ... Mikhail T. vor 10 Jahren 0

2 Antworten auf die Frage

0
f01

Bitte versuchen Sie diese Problemumgehung https://access.redhat.com/solutions/1234843 .

svn-client <- unterstützt SSLv3 -> local stunnel <- kein SSLv3 / automatischer Rückfall auf TLS -> SVN-Server

Einige Komponenten bieten keine Konfigurationsparameter, mit denen SSLv3 deaktiviert werden kann. Derzeit sind folgende Komponenten bekannt, die in diese Kategorie fallen:

OpenLDAP

Tassen

Es ist möglich, SSLv3 für diese Komponenten mithilfe von Stunnel zu deaktivieren. Stunnel stellt einen Verschlüsselungswrapper zwischen einem Remote-Client und einem lokalen (inetd-startfähigen) oder Remote-Server bereit, wobei die OpenSSL-Bibliothek für die Verschlüsselung verwendet wird. n Um SSLv3 für stunnel zu deaktivieren, verwenden Sie die folgenden Konfigurationsparameter in der Datei stunnel.conf:

options = NO_SSLv2 options = NO_SSLv3
Das würde bedeuten, nicht verschlüsselte Verbindungen auf dem SVN-Server zuzulassen, was wir nicht wirklich tun können. Mikhail T. vor 10 Jahren 0
Die Kommunikation zwischen dem lokalen Stunnel und dem SVN-Server ist immer noch verschlüsselt. Es ist kein SSLv3 mehr, es sollte auf TLS zurückgreifen. f01 vor 10 Jahren 0
0
Mikhail T.

Eine Lösung bestand darin, Subversion für die Verwendung der neuen Version von serf (1.3.8) neu zu kompilieren. Der neueste Serf verwendet ebenfalls kein SSLv3 und kann daher mit dem Nur-TLS-Server kommunizieren. Das Aktualisieren des svnClients auf Dutzenden von Systemen ist jedoch an sich problematisch.

Wir haben dieses Problem gelöst, indem wir Apache auf dem Server wie in meiner Antwort auf meine eigene Frage zu ServerFault beschrieben modifiziert haben . Viel Glück.

Verwandte Probleme