Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Error code: SSL_ERROR_RX_RECORD_TOO_LONG
2 views
Skip to first unread message
Marcin Debowski
Jan 18, 2021, 7:08:10 AM1/18/21
to
Mam dziwną sytuację. Debian 8 z Apachem. zaktualizowane, vhost z ssl,
self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
stadnizowąd przeglądarki, różne mówią:
Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
Zrestartowałem apacza. Nie pomogło. Zrestartowałem całość. Nie pomogło.
W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
journalctl -xe|grep apache
Jan 18 12:38:24 xxxxxx apachectl[6241]: AH00180: WARNING:
MaxRequestWorkers of 150 exceeds ServerLimit value of 10 servers,
decreasing MaxRequestWorkers to 10. To increase, please see the
ServerLimit directive.
Ale ten komunikat był już wcześniej i działało.
Jakieś dyskowe cache się zdegerowało, bo nic innego mi do łba nie
przychodzi? Ki diabeł?
A może weszła jakaś dyrektywa i przeglądarki przestały akceptować
wariant protokołu?
Apache2 2.4.25-3
openssl 1.1.1d-1
strings /usr/lib/apache2/modules/mod_ssl.so|egrep '^mod_ssl\/|^OpenSSL '
OpenSSL 1.0.2s 28 May 2019
mod_ssl/2.4.25
--
Marcin
self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
stadnizowąd przeglądarki, różne mówią:
Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
Zrestartowałem apacza. Nie pomogło. Zrestartowałem całość. Nie pomogło.
W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
journalctl -xe|grep apache
Jan 18 12:38:24 xxxxxx apachectl[6241]: AH00180: WARNING:
MaxRequestWorkers of 150 exceeds ServerLimit value of 10 servers,
decreasing MaxRequestWorkers to 10. To increase, please see the
ServerLimit directive.
Ale ten komunikat był już wcześniej i działało.
Jakieś dyskowe cache się zdegerowało, bo nic innego mi do łba nie
przychodzi? Ki diabeł?
A może weszła jakaś dyrektywa i przeglądarki przestały akceptować
wariant protokołu?
Apache2 2.4.25-3
openssl 1.1.1d-1
strings /usr/lib/apache2/modules/mod_ssl.so|egrep '^mod_ssl\/|^OpenSSL '
OpenSSL 1.0.2s 28 May 2019
mod_ssl/2.4.25
--
Marcin
Marcin Debowski
Jan 18, 2021, 7:39:16 AM1/18/21
to
value of 10 servers", może być to:
CVE-2020-1967 (OpenSSL advisory) [High severity] 21 April 2020: Server
or client applications that call the SSL_check_chain() function
during or after a TLS 1.3 handshake may crash due to a NULL pointer
dereference as a result of incorrect handling of the
"signature_algorithms_cert" TLS extension. The crash occurs if an
invalid or unrecognised signature algorithm is received from the
peer. This could be exploited by a malicious peer in a Denial of
Service attack. OpenSSL version 1.1.1d, 1.1.1e, and 1.1.1f are
affected by this issue. This issue did not affect OpenSSL versions
prior to 1.1.1d. Reported by Bernd Edlinger.
Ale netstat / ss nie pokazują aktywnych połączeń na 443.
--
Marcin
Dominik Ałaszewski
Jan 18, 2021, 8:25:05 AM1/18/21
to
Dnia 18.01.2021 Marcin Debowski <aga...@INVALID.zoho.com> napisał/a:
> W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
A próbowałeś może podłączyć się przez
> W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
openssl s_client? Może to coś wypluje sensownego.
--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile…" (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.
Pawel
Jan 18, 2021, 8:43:02 AM1/18/21
to
W dniu 18.01.2021 o 13:08, Marcin Debowski pisze:
Encrypt?
Kiedys mialem multum problemow z self signed ssl. Z tego co zauwazylem,
to byly u mnie dwa powody. Router Netgear-a, ktory najwyrazniej mial
problemy z obsluga self signed ssl (sprawdzilem w sumie na 3, czy 4
routerach netgeara i to samo) przy przekierowaniu portow i ten self
signed cert. Obecnie mam inny router i cert z Let's enccrypt i wszystko
dziala ok, a wtedy przez ponad rok nie moglem normalnie apache uzywac
przez ssl.
Z LANu dzialalo dobrze, ale jak laczylem sie z Internetu i polaczenie
bylo przekierowywane, to sie cuda zaczynaly dziac.
A powod tego, ze to sie nagle zaczelo dziac, to byc moze powod tego, ze
coraz wiecej aplikacji sieciowych banuje self signed cert. U mnie
wlasnie taka sytuacja sie wydarzyla.
Sprobuj moze na jakiejs starszej przegladarce i zobaczysz, czy to nie
ten problem.
> Mam dziwną sytuację. Debian 8 z Apachem. zaktualizowane, vhost z ssl,
> self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
> stadnizowąd przeglądarki, różne mówią:
>
> Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
>
Masz mozliwosc sprawdzenia na normalnym certyfikacie? Nawet na Let's
> self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
> stadnizowąd przeglądarki, różne mówią:
>
> Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
>
Encrypt?
Kiedys mialem multum problemow z self signed ssl. Z tego co zauwazylem,
to byly u mnie dwa powody. Router Netgear-a, ktory najwyrazniej mial
problemy z obsluga self signed ssl (sprawdzilem w sumie na 3, czy 4
routerach netgeara i to samo) przy przekierowaniu portow i ten self
signed cert. Obecnie mam inny router i cert z Let's enccrypt i wszystko
dziala ok, a wtedy przez ponad rok nie moglem normalnie apache uzywac
przez ssl.
Z LANu dzialalo dobrze, ale jak laczylem sie z Internetu i polaczenie
bylo przekierowywane, to sie cuda zaczynaly dziac.
A powod tego, ze to sie nagle zaczelo dziac, to byc moze powod tego, ze
coraz wiecej aplikacji sieciowych banuje self signed cert. U mnie
wlasnie taka sytuacja sie wydarzyla.
Sprobuj moze na jakiejs starszej przegladarce i zobaczysz, czy to nie
ten problem.
Lemat
Jan 18, 2021, 10:15:39 AM1/18/21
to
W dniu 18.01.2021 o 13:08, Marcin Debowski pisze:
może wygeneruj nowy certyfikat?
może spróbuj LetsEncrypt?
--
Pozdrawiam
Lemat
Marcin Debowski
Jan 18, 2021, 7:29:19 PM1/18/21
to
Wygenerowanie nowego cert., nadal self-signed załatwiło sprawę
(przynajmniej na razie), ale niepokoi mnie co to właściwie było, bo to
sie kupy nie trzyma. Najbardziej pasowałby mi ten ddos, na który podatna
jest openssl 1.1.1d, gdyby nie to, że netstat nie pokazuje połączeń poza
moimi.
Drugi pomysł, to że się jakiś bit zdegenerował na dysku, ale to też nie
do końca ma sens, bo serwer nie był restartowany pomiędzy czasem gdy
wszystko działało, a gdy zaczęły się problemy (ledwo 2-3h upłynęły, gdy
zauważyłem problemy).
Tak czy siak, czas zrobić porządny upgrade. Troche mnie skręca, bo w
niedziele robiłem na innej maszynie D8->D9-D10, napociłem się z Apache2
już na etapie D8->D9 a i tak się skończyło jednym wielkim czyśćcem
apaczowych rzeczy. Co ciekawe, też nie raportował błędów. Jakiś bug na
Debianie?
--
Marcin
(przynajmniej na razie), ale niepokoi mnie co to właściwie było, bo to
sie kupy nie trzyma. Najbardziej pasowałby mi ten ddos, na który podatna
jest openssl 1.1.1d, gdyby nie to, że netstat nie pokazuje połączeń poza
moimi.
Drugi pomysł, to że się jakiś bit zdegenerował na dysku, ale to też nie
do końca ma sens, bo serwer nie był restartowany pomiędzy czasem gdy
wszystko działało, a gdy zaczęły się problemy (ledwo 2-3h upłynęły, gdy
zauważyłem problemy).
Tak czy siak, czas zrobić porządny upgrade. Troche mnie skręca, bo w
niedziele robiłem na innej maszynie D8->D9-D10, napociłem się z Apache2
już na etapie D8->D9 a i tak się skończyło jednym wielkim czyśćcem
apaczowych rzeczy. Co ciekawe, też nie raportował błędów. Jakiś bug na
Debianie?
--
Marcin
Dominik 'Rathann' Mierzejewski
Jan 19, 2021, 6:46:11 AM1/19/21
to
Date: Mon, 18 Jan 2021 13:08:06, Group: pl.comp.os.linux
Msg-ID: <GSeNH.220574$ARgd....@fx08.ams1>
From: Marcin Debowski:
> stadnizowąd przeglądarki, różne mówią:
> Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
> Zrestartowałem apacza. Nie pomogło. Zrestartowałem całość. Nie pomogło.
> W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
> journalctl -xe|grep apache
> Jan 18 12:38:24 xxxxxx apachectl[6241]: AH00180: WARNING:
> MaxRequestWorkers of 150 exceeds ServerLimit value of 10 servers,
> decreasing MaxRequestWorkers to 10. To increase, please see the
> ServerLimit directive.
> Ale ten komunikat był już wcześniej i działało.
> Jakieś dyskowe cache się zdegerowało, bo nic innego mi do łba nie
> przychodzi? Ki diabeł?
> A może weszła jakaś dyrektywa i przeglądarki przestały akceptować
> wariant protokołu?
> Apache2 2.4.25-3
> openssl 1.1.1d-1
Masz zainstalowany OpenSSL 1.1.x?
> strings /usr/lib/apache2/modules/mod_ssl.so|egrep '^mod_ssl\/|^OpenSSL '
> OpenSSL 1.0.2s 28 May 2019
> mod_ssl/2.4.25
mod_ssl masz skompilowany z OpenSSL 1.0.x, który jest niekompatybilny
z 1.1.x. Podejrzewam, że tu może być problem. Ale ja to się na Debianie
nie znam. ;) Na Fedorze działa. :P
Pozdrawiam,
Dominik
--
Fedora https://getfedora.org | RPM Fusion http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
-- from "Collected Sayings of Muad'Dib" by the Princess Irulan
Msg-ID: <GSeNH.220574$ARgd....@fx08.ams1>
From: Marcin Debowski:
> Mam dziwną sytuację. Debian 8 z Apachem. zaktualizowane, vhost z ssl,
> self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
self-signed w dobie Let's Encrypt?
> self signed, snake oil z dystrybucji. Do dziś działało dobrze i nagle
> stadnizowąd przeglądarki, różne mówią:
> Error code: SSL_ERROR_RX_RECORD_TOO_LONG.
> Zrestartowałem apacza. Nie pomogło. Zrestartowałem całość. Nie pomogło.
> W logach, mimo największego stopnia gadatliwości nie ma nic (dosłownie).
> journalctl -xe|grep apache
> Jan 18 12:38:24 xxxxxx apachectl[6241]: AH00180: WARNING:
> MaxRequestWorkers of 150 exceeds ServerLimit value of 10 servers,
> decreasing MaxRequestWorkers to 10. To increase, please see the
> ServerLimit directive.
> Ale ten komunikat był już wcześniej i działało.
> Jakieś dyskowe cache się zdegerowało, bo nic innego mi do łba nie
> przychodzi? Ki diabeł?
> A może weszła jakaś dyrektywa i przeglądarki przestały akceptować
> wariant protokołu?
> Apache2 2.4.25-3
> openssl 1.1.1d-1
> strings /usr/lib/apache2/modules/mod_ssl.so|egrep '^mod_ssl\/|^OpenSSL '
> OpenSSL 1.0.2s 28 May 2019
> mod_ssl/2.4.25
z 1.1.x. Podejrzewam, że tu może być problem. Ale ja to się na Debianie
nie znam. ;) Na Fedorze działa. :P
Pozdrawiam,
Dominik
--
Fedora https://getfedora.org | RPM Fusion http://rpmfusion.org
There should be a science of discontent. People need hard times and
oppression to develop psychic muscles.
-- from "Collected Sayings of Muad'Dib" by the Princess Irulan
Krzysztof Gajdemski
Jan 19, 2021, 8:29:12 AM1/19/21
to
Jest Tue, 19 Jan 2021 00:29:15 GMT, Marcin Debowski pisze:
powiedział, że to jest jakiś problem z konfiguracją po stronie serwera,
ale jeśli nic nie było ruszane i te same przeglądarki z dnia na dzień
przestały negocjować SSL, to nie mam pomysłu. Bez analizy, np. za pomocą
s_clienta ciężko będzie coś stwierdzić.
> Drugi pomysł, to że się jakiś bit zdegenerował na dysku, ale to też nie
> do końca ma sens, bo serwer nie był restartowany pomiędzy czasem gdy
> wszystko działało, a gdy zaczęły się problemy (ledwo 2-3h upłynęły, gdy
> zauważyłem problemy).
Szczerze mówiąc jeszcze bardziej wątpliwe.
> Tak czy siak, czas zrobić porządny upgrade. Troche mnie skręca, bo w
> niedziele robiłem na innej maszynie D8->D9-D10, napociłem się z Apache2
> już na etapie D8->D9 a i tak się skończyło jednym wielkim czyśćcem
> apaczowych rzeczy. Co ciekawe, też nie raportował błędów. Jakiś bug na
> Debianie?
Robiłem taką operację wielokrotnie, również na serwerach z działającym
Apache i nie przypominam sobie jakichś typowych problemów. Tylko tu
wiele zależy od lokalnej konfiguracji. Zawsze może się zdarzyć, że
coś tam jednak nie wstanie: mimo wszystko jakieś komunikaty o błędach
być powinny. Niezależnie od tego należałoby wykonać upgrade. Debian
8 nie jest już wspierany od połowy zeszłego roku.
PS FuT -> pcol
--
Krzysztof Gajdemski | songo (at) debian.org.pl | KG4751-RIPE
Registered Linux User #133457 | BLUG Registered Member #0005
PGP key at: http://s.debian.org.pl/gpg/gpgkey * ID: D3259224
Szanuję was wszystkich, którzy pozostajecie w cieniu - Snerg
> Wygenerowanie nowego cert., nadal self-signed załatwiło sprawę
> (przynajmniej na razie), ale niepokoi mnie co to właściwie było, bo to
> sie kupy nie trzyma. Najbardziej pasowałby mi ten ddos, na który podatna
> jest openssl 1.1.1d, gdyby nie to, że netstat nie pokazuje połączeń poza
> moimi.
No właśnie, raczej nie wygląda na ten przypadek. Normalnie bym
> (przynajmniej na razie), ale niepokoi mnie co to właściwie było, bo to
> sie kupy nie trzyma. Najbardziej pasowałby mi ten ddos, na który podatna
> jest openssl 1.1.1d, gdyby nie to, że netstat nie pokazuje połączeń poza
> moimi.
powiedział, że to jest jakiś problem z konfiguracją po stronie serwera,
ale jeśli nic nie było ruszane i te same przeglądarki z dnia na dzień
przestały negocjować SSL, to nie mam pomysłu. Bez analizy, np. za pomocą
s_clienta ciężko będzie coś stwierdzić.
> Drugi pomysł, to że się jakiś bit zdegenerował na dysku, ale to też nie
> do końca ma sens, bo serwer nie był restartowany pomiędzy czasem gdy
> wszystko działało, a gdy zaczęły się problemy (ledwo 2-3h upłynęły, gdy
> zauważyłem problemy).
> Tak czy siak, czas zrobić porządny upgrade. Troche mnie skręca, bo w
> niedziele robiłem na innej maszynie D8->D9-D10, napociłem się z Apache2
> już na etapie D8->D9 a i tak się skończyło jednym wielkim czyśćcem
> apaczowych rzeczy. Co ciekawe, też nie raportował błędów. Jakiś bug na
> Debianie?
Apache i nie przypominam sobie jakichś typowych problemów. Tylko tu
wiele zależy od lokalnej konfiguracji. Zawsze może się zdarzyć, że
coś tam jednak nie wstanie: mimo wszystko jakieś komunikaty o błędach
być powinny. Niezależnie od tego należałoby wykonać upgrade. Debian
8 nie jest już wspierany od połowy zeszłego roku.
PS FuT -> pcol
--
Krzysztof Gajdemski | songo (at) debian.org.pl | KG4751-RIPE
Registered Linux User #133457 | BLUG Registered Member #0005
PGP key at: http://s.debian.org.pl/gpg/gpgkey * ID: D3259224
Szanuję was wszystkich, którzy pozostajecie w cieniu - Snerg
0 new messages