Um die kürzlich entdeckte POODLE-Sicherheitslücke in SSLv3 zu beheben, haben wir das alte Protokoll auf unseren Servern deaktiviert – einschließlich des Subversion-Repository-Servers.
Dadurch sind die SVN-Clients auf unseren RHEL5-Rechnern kaputtgegangen – sie melden nun den folgenden Fehler:
svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net).
Die SVN-Version ist 1.6.11. Die gleiche Version auf RHEL6 ist in Ordnung, daher könnte man meinen, der Unterschied liege in den OpenSSL-Bibliotheken.
Aber Apache, das auf derselben RHEL5-Box wie der SVN-Client läuft, verwendet dieselben Bibliotheken und bedient seinen eigenen SSL-Verkehr ohne Probleme (über TLSv1).
Wie bringe ich den SVN-Client zum Laufen, ohne dass der SVN-Server SSLv3 unterstützt?
Aktualisieren: Wenn ich mir ldddie Ausgabe genauer anschaue, sehe ich, dass svnLinks zu GNUTLS auf RHEL6, aber zu OpenSSL auf RHEL5 vorhanden sind, was den Unterschied erklären könnte. Ich verstehe jedoch immer noch nicht, warum Apache, das OpenSSL auf demselben RHEL5-System verwendet, kein Problem damit hat, TLSv1 anzubieten.
Antwort1
Bitte versuchen Sie diesen Workaroundhttps://access.redhat.com/solutions/1234843.
svn-client <-- unterstützt SSLv3 --> lokaler stunnel <-- kein SSLv3 / automatischer Fallback auf TLS --> SVN-Server
Einige Komponenten bieten keine Konfigurationsparameter, mit denen SSLv3 deaktiviert werden kann. Derzeit fallen die folgenden Komponenten in diese Kategorie:
OpenLDAP
Tassen
Es ist möglich, SSLv3 für diese Komponenten mithilfe von stunnel zu deaktivieren. Stunnel stellt einen Verschlüsselungs-Wrapper zwischen einem Remote-Client und einem lokalen (inetd startbaren) oder Remote-Server bereit und verwendet dabei die OpenSSL-Bibliothek für die Kryptografie. n Um SSLv3 auf stunnel zu deaktivieren, verwenden Sie die folgenden Konfigurationsparameter in der Datei stunnel.conf:
options = NO_SSLv2
options = NO_SSLv3
Antwort2
Eine Lösung bestand darin, Subversion neu zu kompilieren, um die neue Version von Serf (1.3.8) zu verwenden – das neueste Serf verwendet ebenfalls kein SSLv3 und kann daher mit dem Nur-TLS-Server kommunizieren. Allerdings svnist die Aktualisierung von -client auf Dutzenden von Systemen an sich problematisch.
Wir haben dieses Problem gelöst, indem wir Apache auf dem Server geändert haben, wie inmeine Antwort auf meine eigene Frage zu ServerFault. Viel Glück.