Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
On Mon, Nov 09, 2009 at 04:40:45AM +0300, Maxim Dounin wrote:
> Hello!
>
> [...]
>
> > > Думаю, правильным решением будет просто дропать соединение в
> > > ngx_ssl_info_callback() по прописанному в патче условию.
> >
> > Новый патч, который делает это.
>
> Новый патч. На этот раз renegotiation запрещён только для
> серверных соединений.
>
> Для клиентских соединений не трогаем, ибо это без нужды ломает
> proxy_pass на https бекенды сконфигурированные для запроса
> сертификатов через renegotiation (e.g. Apache + per-location
> SSLVerifyClient). Без нужды - потому как сертификат бекенда nginx
> всё равно не проверяет.
>
> Следует иметь ввиду что использование openssl 0.9.8l на любой из
> сторон подобные конфигурации так или иначе сломает.
Я думаю, можно запрещать renegotiation для всего, поскольку сам
nginx тоже не используется клиентский сертификат при работе с бэкендом.
--
Игорь Сысоев
http://sysoev.ru
|