MySQL의 Logjam 취약점을 수정하는 방법

Question 1

MySQL 5.7.6 릴리스 정보에는 다음이 포함되어 있습니다.

보안 수정:LogJam 문제로 인해(https://weakdh.org/), OpenSSL은 openssl-1.0.1n 이상의 Diffie-Hellman 키 길이 매개변수를 변경했습니다. OpenSSL은 다음 위치에서 자세한 설명을 제공했습니다.http://openssl.org/news/secadv_20150611.txt. MySQL에서 이러한 변경 사항을 적용하기 위해 Diffie-Hellman 키 생성을 위해 vio/viosslfactories.c에서 사용되는 키 길이가 512비트에서 2,048비트로 늘어났습니다. (버그 #77275, 버그 #21221862, 버그 #18367167, 버그 #21307471)

이는 DH 크기가 5.7.6 이전의 MySQL에서 512비트로 하드코딩된 것으로 나타납니다(영구적인 로그잼?). OpenSSL의 최신 버전에서는 이러한 취약한 키를 거부하므로 MySQL을 업그레이드하지 않고 OpenSSL을 업그레이드하면 문제가 발생하는 것으로 보입니다.

Answer

MySQL 5.7.6 릴리스 정보에는 다음이 포함되어 있습니다.

보안 수정:LogJam 문제로 인해(https://weakdh.org/), OpenSSL은 openssl-1.0.1n 이상의 Diffie-Hellman 키 길이 매개변수를 변경했습니다. OpenSSL은 다음 위치에서 자세한 설명을 제공했습니다.http://openssl.org/news/secadv_20150611.txt. MySQL에서 이러한 변경 사항을 적용하기 위해 Diffie-Hellman 키 생성을 위해 vio/viosslfactories.c에서 사용되는 키 길이가 512비트에서 2,048비트로 늘어났습니다. (버그 #77275, 버그 #21221862, 버그 #18367167, 버그 #21307471)

이는 DH 크기가 5.7.6 이전의 MySQL에서 512비트로 하드코딩된 것으로 나타납니다(영구적인 로그잼?). OpenSSL의 최신 버전에서는 이러한 취약한 키를 거부하므로 MySQL을 업그레이드하지 않고 OpenSSL을 업그레이드하면 문제가 발생하는 것으로 보입니다.

Question 2

Diffie-Hellman이 아닌 SSL 암호를 강제로 사용하여 연결 문제를 해결할 수 있었습니다.

--ssl-cipher=AES256-SHAmysql 5.5.42 Linux 클라이언트를 사용하면 다음에 지정된 대로 명령줄 옵션을 지정하는 데 성공했습니다.이것버그 보고서.
그러나 우리의 (Java7) MySQL 5.1.35 jdbc 클라이언트는 해당 암호를 좋아하지 않았지만 enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA권장대로 연결 문자열에 지정할 때 작동했습니다.여기.

YMMV

Answer

Diffie-Hellman이 아닌 SSL 암호를 강제로 사용하여 연결 문제를 해결할 수 있었습니다.

--ssl-cipher=AES256-SHAmysql 5.5.42 Linux 클라이언트를 사용하면 다음에 지정된 대로 명령줄 옵션을 지정하는 데 성공했습니다.이것버그 보고서.
그러나 우리의 (Java7) MySQL 5.1.35 jdbc 클라이언트는 해당 암호를 좋아하지 않았지만 enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA권장대로 연결 문자열에 지정할 때 작동했습니다.여기.

YMMV

MySQL의 Logjam 취약점을 수정하는 방법

답변1

답변2

관련 정보