[zorp-hu] https hibauzenet
Balazs Scheidler
bazsi@balabit.hu
Fri, 28 Jun 2002 12:17:57 +0200
On Fri, Jun 28, 2002 at 11:55:46AM +0200, Balazs Scheidler wrote:
> On Fri, Jun 28, 2002 at 11:35:06AM +0200, Kosa Attila wrote:
> > Hello!
> > Ezt a hibauzenetet kaptam:
> > SSL handshake failed on the server side; error='error:1408F455:SSL routines:lib(20):SSL3_GET_RECORD:func(143):decryption failed or bad record mac:reason(1109)'
> >
> > Ez arra utal, hogy az elerni kivant szerver nem ismeri az ssl3-mat?
> > Mit tudok tenni?
>
> nem. szo szerint leforditva annyit jelent, hogy a masik oldal altal kuldott
> csomagon levo MAC ertek nem stimmel. A MAC a csomag integritasat hivatott
> vedeni. Milyen openssl verzio? Az uzenetet en nem talalom sem a 0.9.6a-ban
> sem a 0.9.6b-ben.
megtalaltam. a 0.9.6d-ben. ez a kodreszlet triggereli:
if ((bs != 1) && !send)
{
i=rec->data[l-1]+1;
/* SSL 3.0 bounds the number of padding bytes by the block size;
* padding bytes (except that last) are arbitrary */
if (i > bs)
{
/* Incorrect padding. SSLerr() and ssl3_alert are done
* by caller: we don't want to reveal whether this is
* a decryption error or a MAC verification failure
* (see http://www.openssl.org/~bodo/tls-cbc.txt) */
return -1;
}
rec->length-=i;
}
bs a block meret, a send azt jelenti, hogy kuldott vagy fogadott csomagrol
van szo. Itt fogadott csomag, aminek hibas a padding-je. A padding byteok
szama nagyobb, mint a blokkmeret. Ugyanez az ellenorzes megvan a 0.9.6b-ben
is (csak mas a hibakodja, a fenti url irja le miert van a valtozas)
A hiba oka legvaloszinubb valami hibas TLS1 megvalositas a masik oldalon,
esetleg tamadasi kiserlet (szinten a fenti url-n van leirva), bar ez eleg
kevesse valoszinu.
Ki kellene iratni az i erteket, valahogy igy:
if ((bs != 1) && !send)
{
i=rec->data[l-1]+1;
fprintf(stderr, "hibas padding, i=%d, bs=%d\n", i, bs);
/* SSL 3.0 bounds the number of padding bytes by the block size;
* padding bytes (except that last) are arbitrary */
if (i > bs)
{
/* Incorrect padding. SSLerr() and ssl3_alert are done
* by caller: we don't want to reveal whether this is
* a decryption error or a MAC verification failure
* (see http://www.openssl.org/~bodo/tls-cbc.txt) */
return -1;
}
rec->length-=i;
}
Az stderr megjelenik a zorp logjaban. Jo lenne meg a masik oldal tipusa,
IIS, esetleg valami mas?
Meg tudod mondani, hogy pontosan milyen szolgaltatas ez? Esetleg en is elerem?
--
Bazsi
PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1