Como corrigir a vulnerabilidade do logjam com o MySQL

Navegue suas respostas
5

Desde a última atualização openssl no meu servidor Debian, meus clientes mysql não conseguem se conectar e dar a seguinte mensagem 

SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small

Acho que isso é para evitar ataques Logjam .

Graças ao link , sei como posso gerar parâmetros Diffie-Hellman mais strongs. No entanto, não encontro nenhuma opção de configuração do MySQL para utilizá-las.

Alguém sabe?

    
por Tonin 22.06.2015 / 18:19

2 respostas

3

As notas de lançamento do MySQL 5.7.6 contêm o seguinte:

Correção de segurança: Devido ao problema da LogJam ( link ), o OpenSSL alterou o tamanho da chave Diffie-Hellman parâmetros para o openssl-1.0.1n e superior. O OpenSSL forneceu uma explicação detalhada no link . Para adotar essa mudança no MySQL, o tamanho da chave usada em vio / viosslfactories.c para criar chaves Diffie-Hellman foi aumentado de 512 para 2.048 bits. (Bug # 77275, Bug # 21221862, Bug # 18367167, Bug # 21307471)

Parece que o tamanho do DH foi codificado para 512 bits no MySQL antes de 5.7.6 (logjam permanente?). Como versões posteriores do OpenSSL rejeitam essas chaves fracas, atualizar o OpenSSL sem atualizar o MySQL parece quebrar as coisas.

    
por 07.07.2015 / 14:01
2

Conseguimos corrigir nossos problemas de conexão, forçando o uso de uma criptografia SSL não-Diffie-Hellman.

  • Com o nosso cliente Linux mysql 5.5.42, tivemos sucesso com a especificação da opção de linha de comando --ssl-cipher=AES256-SHA , conforme especificado em este relatório de erros.

  • Nosso cliente jdbc (Java7) MySQL 5.1.35, no entanto, não gostou dessa codificação, mas funcionou quando especificamos enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA em nossa cadeia de conexão, como recomendado aqui .

YMMV

    
por 29.07.2015 / 01:33

Tags

Intermitente ssh_exchange_identification: Conexão fechada pelo host remoto Java: Limite o número de núcleos que uma JVM pode usar