Como usar o svn-client no RHEL5 após o servidor desabilitar o SSLv3?

tag-icon tag-icon svn openssl rhel-5 rhel-6
Como usar o svn-client no RHEL5 após o servidor desabilitar o SSLv3?

Para lidar com a vulnerabilidade POODLE recentemente descoberta no SSLv3, desabilitamos o protocolo antigo em nossos servidores – incluindo o servidor de repositório Subversion.

Isso quebrou os clientes svn em nossas máquinas RHEL5 - eles agora relatam o seguinte erro:

svn: OPTIONS of 'https://svn.example.net/foo/trunk/': SSL negotiation failed: Secure connection truncated (https://svn.example.net).

A versão do svn é 1.6.11. A mesma versão no RHEL6 é adequada, então pode-se pensar que a diferença está nas bibliotecas openssl.

Mas o Apache rodando na mesma caixa RHEL5 que o svn-client usa as mesmas bibliotecas e está servindo seu próprio tráfego SSL sem problemas (sobre TLSv1).

Como faço o svn-client funcionar sem que o svn-server suporte SSLv3?

Atualizar: Olhando mais de perto ldda saída de, vejo que há svnlinks com GNUTLS no RHEL6, mas com OpenSSL no RHEL5, o que pode ser responsável pela diferença. Ainda não entendo por que o Apache usando OpenSSL no mesmo sistema RHEL5 não tem problemas em oferecer TLSv1.

Responder1

Por favor, tente esta solução alternativahttps://access.redhat.com/solutions/1234843.

svn-client <-- suporta SSLv3 --> stunnel local <-- sem SSLv3 / retorno automático para TLS --> servidor SVN

Alguns componentes não fornecem parâmetros de configuração que permitem a desativação do SSLv3. Atualmente, sabe-se que os seguintes componentes se enquadram nesta categoria:

OpenLDAP

xícaras

É possível desabilitar SSLv3 para esses componentes usando stunnel. Stunnel fornece um wrapper de criptografia entre um cliente remoto e um servidor local (inicializável por inetd) ou remoto, usando a biblioteca OpenSSL para criptografia. n Para desabilitar o SSLv3 no stunnel, use os seguintes parâmetros de configuração no arquivo stunnel.conf:

options = NO_SSLv2
options = NO_SSLv3

Responder2

Uma solução foi recompilar o Subversion para usar a nova versão do serf (1.3.8) - o serf mais novo também não usa SSLv3 e, portanto, pode se comunicar com o servidor somente TLS. No entanto, atualizar svn-client em dezenas de sistemas é problemático por si só.

Resolvemos esse problema modificando o Apache no servidor conforme descrito emminha resposta para minha própria pergunta no ServerFault. Boa sorte.

informação relacionada