我尝试在Windows上使用以下配置命令Configure no-ssl3 VC-WIN32,然后ms\do_ms和nmake -f ms\ntdll.mak构建openssl 1.0.1l(https://www.openssl.org/source/openssl-1.0.1l.tar.gz)二进制文件。
它成功构建了二进制文件,但是当我尝试使用SSL3发出请求时,它成功了。 任何人都可以帮我在openssl的1.0.1l分支上禁用SSL3。
注意:在openssl 1.0.1j上使用相同的命令从二进制文件中禁用了ssl3,因此当我使用ssl3请求时它会退出(这是预期的)
答案 0 :(得分:1)
这是1.0.1l及之前的错误,已在OpenSSL 1.0.2中修复。
*) Build option no-ssl3 is incomplete.
When OpenSSL is configured with "no-ssl3" as a build option, servers
could accept and complete a SSL 3.0 handshake, and clients could be
configured to send them.
(CVE-2014-3568)
[Akamai and the OpenSSL team]
答案 1 :(得分:0)
这可能会改变配置?
no-ssl3 configuration sets method to NULL (CVE-2014-3569)
严重性:低
使用no-ssl3选项和SSL v3 ClientHello构建openssl时 接收到的ssl方法将设置为NULL,以后可能导致 一个NULL指针取消引用。
此问题会影响所有当前的OpenSSL版本:1.0.1,1.0.0和0.9.8。
OpenSSL 1.0.1用户应该升级到1.0.1k。
OpenSSL 1.0.0用户应该升级到1.0.0p。
OpenSSL 0.9.8用户应该升级到0.9.8zd。
此问题于2014年10月17日由Frank Schmirler向OpenSSL报告。该 修复工作由Kurt Roeckx开发。