私のDebianサーバーで最新のopensslアップグレード以降、mysqlクライアントが接続できなくなり、次のメッセージが表示されます。
SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
これは防ぐためだと思いますログジャム攻撃。
感謝https://weakdh.org/sysadmin.htmlより強力な Diffie-Hellman パラメータを生成する方法はわかっています。しかし、実際にそれを使用するための MySQL 構成オプションが見つかりません。
誰か知っていますか?
答え1
MySQL 5.7.6 リリース ノートには次の内容が含まれています。
セキュリティ修正:LogJam問題のため(https://weakdh.org/)、OpenSSLはopenssl-1.0.1n以降でDiffie-Hellman鍵長パラメータを変更しました。OpenSSLは詳細な説明をhttp://openssl.org/news/secadv_20150611.txtMySQL でこの変更を採用するために、Diffie-Hellman キーを作成するために vio/viosslfactories.c で使用されるキーの長さが 512 ビットから 2,048 ビットに増加されました。(バグ #77275、バグ #21221862、バグ #18367167、バグ #21307471)
このことから、MySQL 5.7.6 より前のバージョンでは DH サイズが 512 ビットにハードコードされていたことがわかります (永久的な行き詰まり?)。OpenSSL の以降のバージョンではこれらの弱いキーが拒否されるため、MySQL をアップグレードせずに OpenSSL をアップグレードすると、問題が発生するようです。