Bagaimana cara menggunakan svn-client di RHEL5 setelah server menonaktifkan SSLv3?

2

Untuk menangani kerentanan POODLE yang baru ditemukan di SSLv3, kami menonaktifkan protokol lama di server kami - termasuk server repositori Subversion.

Ini memecah svn-klien pada mesin RHEL5 kami - mereka sekarang melaporkan kesalahan berikut:

svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net).

Versi svn adalah 1.6.11. Versi yang sama pada RHEL6 baik-baik saja, jadi orang bisa berpikir, perbedaannya terletak pada openssl-libraries.

Tetapi Apache berjalan pada kotak RHEL5 yang sama dengan svn-client menggunakan pustaka yang sama dan melayani lalu lintas SSL sendiri tanpa hambatan (lebih dari TLSv1).

Bagaimana cara membuat svn-client berfungsi tanpa svn-server yang mendukung SSLv3?

Pembaruan : Melihat lebih dekat pada lddkeluaran, saya melihat bahwa svntautan dengan GNUTLS pada RHEL6, tetapi OpenSSL pada RHEL5, yang mungkin menjelaskan perbedaannya. Saya masih tidak mengerti, mengapa Apache menggunakan OpenSSL pada sistem RHEL5 yang sama tidak memiliki masalah menawarkan TLSv1, namun.

svn openssl rhel-5 rhel-6 Mikhail T.
sumber
Apakah Anda sudah memperbarui openssl pada kotak RHEL5? Apakah itu termasuk memperbarui atau mengkompilasi ulang svn?
Zoredache
Benar. Menginstal RPMs openssl yang berumur satu minggu dari RedHat ( openssl-0.9.8e-31.el5_11) tidak menyelesaikan masalah. Tidak juga mengkompilasi ulang subversi dari sumber ...
Mikhail T.

Jawaban:

0

Silakan coba solusi ini https://access.redhat.com/solutions/1234843 .

svn-client <- mendukung SSLv3 -> local stunnel <- no SSLv3 / otomatis kembali ke TLS -> server SVN

Beberapa komponen tidak menyediakan parameter konfigurasi yang memungkinkan SSLv3 dinonaktifkan. Saat ini, komponen-komponen berikut diketahui termasuk dalam kategori ini:

OpenLDAP

cangkir

Dimungkinkan untuk menonaktifkan SSLv3 untuk komponen-komponen ini dengan menggunakan stunnel. Stunnel menyediakan pembungkus enkripsi antara klien jarak jauh dan server jarak jauh (inetd-startable), menggunakan perpustakaan OpenSSL untuk kriptografi. n Untuk menonaktifkan SSLv3 pada stunnel, gunakan parameter konfigurasi berikut dalam file stunnel.conf:

options = NO_SSLv2
options = NO_SSLv3
f01
sumber
Itu berarti mengizinkan koneksi yang tidak terenkripsi pada server SVN, yang tidak bisa kita lakukan ... Oh, well ...
Mikhail T.
Komunikasi antara stunnel lokal dan server SVN masih dienkripsi. Ini bukan SSLv3 lagi, itu harus kembali ke TLS.
f01
0

Salah satu solusinya adalah mengkompilasi ulang Subversion untuk menggunakan versi baru dari budak (1.3.8) - budak terbaru juga tidak menggunakan SSLv3 sehingga dapat berbicara dengan server khusus TLS. Namun, memperbarui svn-klien pada lusinan sistem bermasalah dalam dirinya sendiri.

Kami memecahkan masalah ini dengan memodifikasi Apache di server seperti yang dijelaskan dalam jawaban saya untuk pertanyaan saya sendiri di ServerFault . Semoga berhasil.

Mikhail T.
sumber