如何使用MySQL修复Logjam漏洞

Question

由于在我的Debian服务器上进行了最新的openssl升级，我的mysql客户端无法连接并提供以下消息

SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small

我想这是为了防止灌木丛攻击。

感谢https://weakdh.org/sysadmin.html，我知道如何生成更强的Diffie-Hellman参数。但是，我没有找到任何MySQL配置选项来实际使用这些。

有人知道吗？

Answer 1

MySQL 5.7.6发行说明包含以下内容：

安全性修复:由于LogJam问题(https://weakdh.org/)，OpenSSL更改了openssl-1.0.1n及以上的Diffie-Hellman密钥长度参数。OpenSSL在http://openssl.org/news/secadv_20150611.txt上提供了详细的解释。为了在MySQL中采用这种更改，vio/viosslfaces.c中用于创建Diffie-Hellman键的密钥长度从512位增加到了2,048位。(Bug #77275，Bug #21221862，Bug #18367167，Bug #21307471)

从这一点看，DH大小在5.7.6 (永久的日志阻塞？)之前在MySQL中被硬编码为512位。与后来版本的OpenSSL一样，拒绝这些弱键，在不升级OpenSSL的情况下升级MySQL似乎会破坏一些东西。

Answer 2

我们能够通过强制使用非Diffie-Hellman SSL密码来解决连接问题。

• 在MySQL5.5.42Linux客户端中，我们成功地指定了--ssl-cipher=AES256-SHA命令行选项，如这 bug报告中所指定的那样。
• 然而，我们的(Java7) MySQL 5.1.35 jdbc客户机不喜欢这个密码，但是当我们按照推荐的这里在连接字符串中指定enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHA时工作。

YMMV