Welcome! Log In Create A New Profile

Advanced

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

November 06, 2009 12:06PM
On Fri, Nov 06, 2009 at 05:41:11PM +0300, Maxim Dounin wrote:

> Hello!
>
> On Fri, Nov 06, 2009 at 04:49:18PM +0300, Igor Sysoev wrote:
>
> > On Fri, Nov 06, 2009 at 04:28:52PM +0300, Maxim Dounin wrote:
> >
> > > Hello!
> > >
> > > Патч, запрещающий ssl renegotiation для старых версий openssl
> > > (ссылок по теме есть в самом патче если кто ещё не читал, ну и в
> > > гугле наливают).
> > >
> > > Я проверил это на openssl 0.9.7e (из freebsd 6.2), и текущем
> > > 0.9.8l (где renegotiation недоступна по умолчанию). Делает вид
> > > что работает.
> > >
> > > Если кто-то потестирует - будет замечательно.
> >
> > Спасибо. У меня renegotiating в openssl клиенте не происходит и клиент
> > ничего не хочет принимать. Насколько я понимаю, это проблема клианта
> > openssl:
>
> [...]
>
> Оно игнорирует ClientHello пакет, в результате клиент ждёт
> таймаута. По хорошему там надо бы послать обратно alert про
> NO_RENEGOTIATION, но я не нашёл способа это нормально сделать.
>
> В моих тестах openssl 0.9.8l (с запрещённым из коробки
> renegotiation) ведёт себя точно так же (без моего патча).

По идее, это должна делать сама OpenSSL по флагу
SSL3_FLAGS_NO_RENEGOTIATE_CIPHERS, но судя по исходникам,
она в этом случае просто ничего не делает.


--
Игорь Сысоев
http://sysoev.ru
Subject Author Posted

[PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 08:38AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 06, 2009 09:02AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 09:50AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 06, 2009 12:06PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 03:48PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 07, 2009 10:04AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 08, 2009 08:48PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 03:12AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 05:16AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 05:36AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 06:18AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 06:56AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 07:26AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 02:14PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 211
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready