SSLv3에서 최근 발견된 POODLE 취약점을 처리하기 위해 우리는 Subversion 저장소 서버를 포함하여 서버에서 이전 프로토콜을 비활성화했습니다.
이로 인해 RHEL5 시스템의 svn-clients가 중단되었습니다. 이제 다음 오류가 보고됩니다.
svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net).
svn 버전은 1.6.11입니다. RHEL6의 동일한 버전은 괜찮으므로 차이점은 openssl-libraries에 있다고 생각할 수 있습니다.
그러나 svn-client와 동일한 RHEL5-box에서 실행되는 Apache는 동일한 라이브러리를 사용하며 TLSv1을 통해 장애 없이 자체 SSL 트래픽을 제공합니다.
SSLv3를 지원하는 svn-server 없이 svn-client를 작동시키려면 어떻게 해야 합니까?
업데이트ldd: 의 출력을 자세히 살펴보면 svnRHEL6에서는 GNUTLS와 연결되어 있지만 RHEL5에서는 OpenSSL과 연결되어 있어 차이가 있을 수 있습니다. 그러나 동일한 RHEL5 시스템에서 OpenSSL을 사용하는 Apache가 TLSv1을 제공하는 데 문제가 없는 이유를 여전히 이해하지 못합니다.
답변1
이 해결 방법을 시도해 보십시오.https://access.redhat.com/solutions/1234843.
svn-client <-- SSLv3 지원 --> 로컬 stunnel <-- SSLv3 없음 / TLS로 자동 폴백 --> SVN 서버
일부 구성요소는 SSLv3을 비활성화할 수 있는 구성 매개변수를 제공하지 않습니다. 현재 이 범주에 속하는 것으로 알려진 구성 요소는 다음과 같습니다.
오픈LDAP
컵
stunnel을 사용하면 이러한 구성 요소에 대해 SSLv3를 비활성화할 수 있습니다. Stunnel은 암호화용 OpenSSL 라이브러리를 사용하여 원격 클라이언트와 로컬(inetd 시작 가능) 또는 원격 서버 사이에 암호화 래퍼를 제공합니다. n stunnel에서 SSLv3를 비활성화하려면 stunnel.conf 파일에서 다음 구성 매개변수를 사용하십시오.
options = NO_SSLv2
options = NO_SSLv3
답변2
한 가지 해결책은 새로운 버전의 serf(1.3.8)를 사용하도록 Subversion을 다시 컴파일하는 것이었습니다. 최신 serf는 SSLv3도 사용하지 않으므로 TLS 전용 서버와 통신할 수 있습니다. 그러나 svn수십 개의 시스템에서 -client를 업데이트하는 것은 그 자체로 문제가 있습니다.
우리는 다음에 설명된 대로 서버에서 Apache를 수정하여 이 문제를 해결했습니다.ServerFault에 대한 내 질문에 대한 내 대답. 행운을 빌어 요.