如何使用 MySQL 修復 Logjam 漏洞

Question 1

MySQL 5.7.6 發行說明包含以下內容：

安全修復：由於 LogJam 問題 (https://weakdh.org/），OpenSSL 已更改 openssl-1.0.1n 及更高版本的 Diffie-Hellman 金鑰長度參數。 OpenSSL 在以下位置提供了詳細的解釋：http://openssl.org/news/secadv_20150611.txt。為了在 MySQL 中採用此更改，vio/viosslfactories.c 中用於建立 Diffie-Hellman 金鑰的金鑰長度已從 512 位元增加到 2,048 位元。（錯誤#77275、錯誤#21221862、錯誤#18367167、錯誤#21307471）

由此可見，在 5.7.6 之前的 MySQL 中，DH 大小被硬編碼為 512 位元（永久阻塞？）。由於 OpenSSL 的更高版本拒絕這些弱金鑰，因此在不升級 MySQL 的情況下升級 OpenSSL 似乎會破壞一些東西。

Answer

MySQL 5.7.6 發行說明包含以下內容：

安全修復：由於 LogJam 問題 (https://weakdh.org/），OpenSSL 已更改 openssl-1.0.1n 及更高版本的 Diffie-Hellman 金鑰長度參數。 OpenSSL 在以下位置提供了詳細的解釋：http://openssl.org/news/secadv_20150611.txt。為了在 MySQL 中採用此更改，vio/viosslfactories.c 中用於建立 Diffie-Hellman 金鑰的金鑰長度已從 512 位元增加到 2,048 位元。（錯誤#77275、錯誤#21221862、錯誤#18367167、錯誤#21307471）

由此可見，在 5.7.6 之前的 MySQL 中，DH 大小被硬編碼為 512 位元（永久阻塞？）。由於 OpenSSL 的更高版本拒絕這些弱金鑰，因此在不升級 MySQL 的情況下升級 OpenSSL 似乎會破壞一些東西。

Question 2

我們能夠透過強制使用非 Diffie-Hellman SSL 密碼來解決連線問題。

使用我們的 mysql 5.5.42 Linux 用戶端，我們成功指定了--ssl-cipher=AES256-SHA命令列選項，例如這錯誤報告。
然而，我們的 (Java7) MySQL 5.1.35 jdbc 用戶端不喜歡該密碼，但當我們enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA按照建議在連接字串中指定時可以工作這裡。

青年MMV

Answer

我們能夠透過強制使用非 Diffie-Hellman SSL 密碼來解決連線問題。

使用我們的 mysql 5.5.42 Linux 用戶端，我們成功指定了--ssl-cipher=AES256-SHA命令列選項，例如這錯誤報告。
然而，我們的 (Java7) MySQL 5.1.35 jdbc 用戶端不喜歡該密碼，但當我們enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA按照建議在連接字串中指定時可以工作這裡。

青年MMV

如何使用 MySQL 修復 Logjam 漏洞

答案1

答案2

相關內容