ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).



Hello!

On Fri, Nov 06, 2009 at 04:49:18PM +0300, Igor Sysoev wrote:

> On Fri, Nov 06, 2009 at 04:28:52PM +0300, Maxim Dounin wrote:
> 
> > Hello!
> > 
> > Патч, запрещающий ssl renegotiation для старых версий openssl 
> > (ссылок по теме есть в самом патче если кто ещё не читал, ну и в 
> > гугле наливают).
> > 
> > Я проверил это на openssl 0.9.7e (из freebsd 6.2), и текущем 
> > 0.9.8l (где renegotiation недоступна по умолчанию).  Делает вид 
> > что работает.
> > 
> > Если кто-то потестирует - будет замечательно.
> 
> Спасибо. У меня renegotiating в openssl клиенте не происходит и клиент
> ничего не хочет принимать. Насколько я понимаю, это проблема клианта
> openssl:

[...]

Оно игнорирует ClientHello пакет, в результате клиент ждёт 
таймаута.  По хорошему там надо бы послать обратно alert про 
NO_RENEGOTIATION, но я не нашёл способа это нормально сделать.

В моих тестах openssl 0.9.8l (с запрещённым из коробки 
renegotiation) ведёт себя точно так же (без моего патча).

Maxim Dounin



 




Copyright © Lexa Software, 1996-2009.