Leider hat dies nichts mit dem von Ihnen identifizierten Problem zu tun und ist ausschließlich auf das beschissene OpenSSL zurückzuführen, mit dem OS X standardmäßig geliefert wird. Version 0.9.8y hat einige echte Probleme mit der Ausführung von SSL-Handshakes, und einige Server tolerieren es nicht gut. Die Verwendung von Python 3 auf meiner OS X-Box (daher die Verwendung eines neueren OpenSSL) zeigt, dass es kein Problem gibt.

Sie haben zwei Möglichkeiten:

1. Installieren Sie OpenSSL von Homebrew und installieren Sie dann eine neue Version von Python 2 von Homebrew, die automatisch mit dem von Homebrew bereitgestellten OpenSSL verknüpft wird.
2. Installieren Sie OpenSSL von Homebrew und installieren Sie dann PyOpenSSL für diese neue Version, indem Sie env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install PyOpenSSL ausführen.

Ah, sieht so aus, als wäre ich damals einem Ablenkungsmanöver gefolgt - ich habe sowieso nicht vor, irgendetwas auf OSX bereitzustellen. Sieht so aus, als würde ich meine Tests auf eine Linux-Virtualbox verschieben. Entschuldigung für dieses langatmige Thema!

Keine Notwendigkeit, sich zu entschuldigen, diese Frage zu stellen, war das Richtige: Es ist bizarr spezifisches Wissen zu wissen, dass OS X dieses Problem hat. =)

Okay, das ist ein Mist. Ich habe ein 32-Bit-Virtualbox-Image für Ubuntu 14.04-Server über Vagrant erstellt, und dies geschieht immer noch, mit Ausnahme des SSLv2-Falls, bei dem es fehlschlägt, weil das Protokoll nicht in der OpenSSL-Version in Ubuntu 14.04 enthalten ist (ich glaube, dass SSLv2 alt ist). und veraltet).

Versionen:
Ubuntu 14.04 32bit (über Vagrant/Virtualbox-Kombination)
Python 2.7.6
Anfragen==2.2.1
Anfragen-Toolbelt==0.2.0
urllib3==1.8.2

EDIT: OpenSSL-Version vergessen ...

python -c "ssl importieren; ssl.OPENSSL_VERSION drucken"
OpenSSL 1.0.1f 6. Januar 2014

TLSv1:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('TLSv1')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv2:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv3')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

SSLv23:

>>> import requests
>>> from requests_toolbelt import SSLAdapter
>>> adapter = SSLAdapter('SSLv23')
>>> s = requests.Session()
>>> s.mount('https://', adapter)
>>> s.get('https://docs.apitools.com/2014/04/24/a-small-router-for-openresty.html')
Traceback (most recent call last):
  File "<console>", line 1, in <module>
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 395, in get
    return self.request('GET', url, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 383, in request
    resp = self.send(prep, **send_kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/sessions.py", line 486, in send
    r = adapter.send(request, **kwargs)
  File "/home/vagrant/.virtualenvs/techtown/local/lib/python2.7/site-packages/requests/adapters.py", line 385, in send
    raise SSLError(e)
SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Vielleicht ist dies dann ein Problem mit der Verschlüsselungsliste? Oder ist die hier verwendete OpenSSL-Version noch problematisch?

Ich bin absolut bereit, etwas Zeit zu investieren, um bei Bedarf beim Debuggen zu helfen ... vorausgesetzt, Sie geben mir eine Richtung.

VM wird heruntergeladen. Ich kann das auf ArchLinux nicht reproduzieren.
Die Stacktraces zeigen dies an, aber ich möchte sicher sein: Sie verwenden _nicht_ PyOpenSSL, sondern nur die stdlib?

@t-8ch Danke, dass du dir das angesehen hast, ich bin etwas verwirrt. OpenSSL macht mir das Leben wirklich schwer =(

@t-8ch Ich habe PyOpenSSL nicht installiert, wenn Sie das fragen?

Ich hätte (vielleicht zu Unrecht) angenommen, dass pip install requests mir alles geben sollte, was ich brauche, um requests.get('...') erfolgreich auf einer HTTPS-Seite aufzurufen. Was natürlich größtenteils funktioniert, nur aus irgendeinem Grund nicht für diese Pornoseite.

@jaddison Das tut es _meistens_. Leider nervt die Standardbibliothek von Python 2.7 sehr und unterstützt einige Funktionen wie SNI nicht.

Ich frage mich, ob das SNI ist ...

@jaddison Hinter den Kulissen gibt es zwei verschiedene Codepfade. Sie sollten sich nicht darum kümmern müssen, aber es hilft beim Debuggen, dies zu wissen.

Allerdings kann ich das jetzt auf Ubuntu reproduzieren. Aber nur o Py2. Auf Py3 ist alles in Ordnung.
Ich vermute, @Lukasa hat Recht und der Server schlägt fehl, wenn der Client kein SNI verwendet.

Es stört mich, dass ein Fehlen von SNI je nach Server auf verschiedene Weise fehlschlägt.

Ich habe diese Änderung zwischen OpenSSL 1.0.1f und 1.0.1g bemerkt (https://www.openssl.org/news/openssl-1.0.1-notes.html):

Add TLS padding extension workaround for broken servers.

EDIT: Ahh, egal - der Fehler sollte nicht zwischen Py 2 und 3 variieren, würde ich denken.

@jaddison Um zu testen, ob es sich um SNI handelt, müssen Sie die SNI-Anforderungen für Python 2 installieren .

@Lukasa hatte Recht. Vergleichen:

$ openssl s_client -connect docs.apitools.com:443                              
CONNECTED(00000003)
139846853338768:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 517 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

$  openssl s_client -connect docs.apitools.com:443 -servername docs.apitools.com
... happy handshake here

Zur Erläuterung: Der zweite Befehl aktiviert die SNI-Funktionalität von openssl s_client .

Sie können a) zu python3 wechseln b) zusätzliche Abhängigkeiten installieren.
Die stdlib hat im Moment keine Möglichkeit SNI zu machen.

Danke für die schnelle Rückmeldung. Da es keinen Fehler gibt, werde ich dies schließen ... wieder.

Hey, danke Jungs!! Ich habe Python3 auf meinem Mac installiert und Boom, es funktioniert.

Ich möchte mich nur einmischen und sagen, dass ich dieses Problem unter OS X 10.9.5, Python 2.7.7 und OpenSSL 0.9.8zc erlebt habe.

Ich konnte mein Handshaking-Problem beheben, indem ich:

1. Installieren eines neueren OpenSSL auf meinem Computer über brew install OpenSSL
2. Kompilieren und Installieren des cryptography -Pakets, das mit dem neuen OpenSSL verknüpft ist ( env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install cryptography )
3. Installieren von Anfragen mit SNI-Unterstützung durch Ausführen von pip install requests[security]

Danke, @Microserf. Ich verwende so ziemlich die gleichen Spezifikationen (10.9.5, Python 2.7.6, installiert über Homebrew, aber kompiliert mit vom System bereitgestelltem OpenSSL 0.9.8zg) und dies war mein gesamter Prozess, um requests für Django zum Laufen zu bringen :

brew install openssl

Installieren Sie requests mit einem Haufen SNI-Zeug , kompiliert gegen unsere neue Installation von OpenSSL. Die Option [security] installiert einfach pyopenssl ndg-httpsclient pyasn1

env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install requests[security] urllib3

Und wir sind startklar:

"""
This may or may not be needed. See:
https://urllib3.readthedocs.org/en/latest/security.html#openssl-pyopenssl
"""
# from urllib3.contrib import pyopenssl
# pyopenssl.inject_into_urllib3()

import requests
# r = requests.get(...)

Gibt es eine endgültige Antwort darauf, wie dies unter Ubuntu funktioniert? Ich stoße auf dieses Problem, und es sieht so aus, als ob die einzige Antwort hier betrifft, wie dies auf einem Mac funktioniert. Ein Upgrade unserer gesamten Codebasis auf Python 3 ist keine Option.

OK, ich habe vielleicht meine eigene Frage beantwortet. Was ich getan habe läuft darauf hinaus:

sudo apt-get install libffi-dev
pip install pyOpenSSL ndg-httpsclient pyasn1

@lsemel danke, das hat mir gerade eine Menge Zeit gespart

@lsemel Bist du dir sicher? Ich habe es unter Ubuntu 15.10 ausprobiert und es funktioniert immer noch nicht mit Python 2.7.10.

Es funktioniert mit Python 2.7 auf Travis CI:
https://travis-ci.org/playing-se/swish-python

Habe es jetzt zum Laufen gebracht! Ich habe einfach pyOpenSSL deinstalliert:
pip uninstall pyOpenSSL

Vielleicht sollten wir nur pyopenssl.inject_into_urllib3() verwenden, wenn die Python-Version kleiner als 2.7.9 ist? pyOpenSSL scheint unter Ubuntu und Windows Probleme zu verursachen, wenn die Python-Version 2.7.10 ist.

PyOpenSSL sollte nichts kaputt machen. Wenn dies der Fall ist, ist dies ein Fehler, der gemeldet werden sollte.

Ich muss das prüfen, aber gibt es einen guten Grund, pyopenssl in urllib3 einzufügen, wenn die Python-Version 2.7.9 oder neuer ist?

Ich denke an so etwas:

# Check if Modern SSL with SNI support
try:
    from ssl import SSLContext
    from ssl import HAS_SNI
except ImportError:
    # Attempt to enable urllib3's SNI support, if possible
    try:
        from .packages.urllib3.contrib import pyopenssl
        pyopenssl.inject_into_urllib3()
    except ImportError:
        pass

Ja, häufig gibt es das. Beispielsweise verlinken unter OS X die meisten Pythons mit dem System OpenSSL, das Version 0.9.8zg ist. PyOpenSSL wird jedoch mit einem viel neueren OpenSSL (1.0.2) verknüpft. Das macht die Verwendung von PyOpenSSL zu einer wesentlichen Sicherheitsverbesserung.

Darüber hinaus bietet uns PyOpenSSL einen viel besseren Zugriff auf OpenSSL, sodass wir es effektiver sichern können.

OK, ich habe jetzt ein wenig damit herumgespielt.

Es FUNKTIONIERT mit pyopenssl, ABER nicht, wenn ndg-httpsclient installiert ist.

Ich kann es jedoch mit ndg-httpsclient zum Laufen bringen, wenn ich pyasn1 deinstalliere und mir diese Warnungen gebe:

/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/ssl_peer_verification.py:25: UserWarning: SubjectAltName support is disabled - check pyasn1 package installation to enable
  warnings.warn(SUBJ_ALT_NAME_SUPPORT_MSG)
/usr/lib/python2.7/dist-packages/ndg/httpsclient/subj_alt_name.py:22: UserWarning: Error importing pyasn1, subjectAltName check for SSL peer verification will be disabled.  Import error is: No module named pyasn1.type
  warnings.warn(import_error_msg)

Gleiches Verhalten unter Ubuntu 15.10 und Windows 10 mit installiertem Python 2.7.10.

Das liegt daran, dass ohne ndg-httpsclient die PyOpenSSL-Unterstützung nicht verwendet wird.

Ja, ich muss untersuchen, warum es funktioniert, wenn SubjectAltName deaktiviert ist. Irgendeine Idee?

Das Problem besteht mit ziemlicher Sicherheit darin, dass Sie jeweils unterschiedliche OpenSSLs verwenden.

Ich hatte das gleiche Problem auf meiner Ubuntu 14.04-Box und Python 2.7.11

Es ist von SNI

Was für mich funktioniert hat, war Folgendes:

• Deinstallationsanfragen
• urllib3 deinstallieren
• Installieren Sie die verschiedenen Krypto-Abhängigkeiten
• urllib3 installieren
• installiere urllib3[secure] # nur um sicher zu gehen
• Installationsanfragen

Ich denke, es gab eine Überprüfung der Installationszeit auf urllib3 oder Anfragen, die verhinderten, dass die Dinge ohne die Deinstallation funktionierten

@jvanasco was verwendest du, um diese Pakete zu installieren? Ich nehme an Pip. Warum installieren Sie urllib3 und Anfragen separat?

Nun, ich brauchte urllib3 in der virtuellen Umgebung ... aber ich habe es installiert, um zu versuchen, die Anforderungen von pip und easy_install zu installieren. (ich habe beides benutzt)

Ich habe einen Web-Indexer und ein paar URLs sind kaputt gegangen. Ich habe ein schnelles Skript geschrieben, um die kaputten Pakete auszuprobieren, und die Pakete in den urllib3-Anweisungen zu SSL-Problemen neu installiert / gelöscht + installiert, bis sie funktionierten.

Am 31. Mai 2016 um 19:25 Uhr schrieb Ian Cordasco [email protected] :

@jvanasco was verwendest du, um diese Pakete zu installieren? Ich nehme an Pip. Warum installieren Sie urllib3 und Anfragen separat?

—
Sie erhalten dies, weil Sie erwähnt wurden.
Antworten Sie direkt auf diese E-Mail, zeigen Sie sie auf GitHub an oder schalten Sie den Thread stumm.

Ich sehe dieses Problem immer noch und habe die vorgeschlagenen Problemumgehungen ausprobiert.
Ich habe meine Python-Version auf 2.7.11 aktualisiert
Ich habe die 3 zusätzlichen Pakete installiert.

Ich habe die von @jvanasco vorgeschlagene Deinstallations-/Installationssequenz ausprobiert und trotzdem den SSLError erhalten
Auch mit Ubuntu 14.04 gibt es leider kein OpenSSL-Update, also muss ich die hier geposteten Problemumgehungen verwenden und habe kein Glück.

Irgendwelche zusätzlichen Schritte, die ihr möglicherweise unternommen habt?

Danke

@Lekinho Ich fand, dass es hilfreich war, ein kurzes Testskript zu erstellen, das die Domäne testete, mit der ich Probleme hatte.

es war nur:

 import requests
 r = requests.get(bad_url)
 print r.__dict__

@Lekinho Sie können pyopenssl aus Anfragen in Ihrem Code extrahieren:

try:
    from requests.packages.urllib3.contrib import pyopenssl
    pyopenssl.extract_from_urllib3()
except ImportError:
    pass

@Lekinho Wenn Sie immer noch auf dieses Problem mit Python 2.7.11 stoßen, unterstützt der Remote-Server höchstwahrscheinlich nicht die TLS-Einstellungen, die von Anfragen verwendet werden. Ist der betreffende Server im öffentlichen Internet verfügbar? Wenn ja, kannst du mir die URL geben?

Ich habe den pyopenssl-Import wie vorgeschlagen ausprobiert.
Leider ist diese nicht öffentlich zugänglich.
Ich habe jedoch die genauen Details darüber, welche openSSL-Version der Server hat.
Grundsätzlich laufen wir auf einer virtuellen Redhat-Maschine, ich hatte dieses openSSL, als alles funktionierte: openssl-1.0.1e-42.el6_7.4.x86_64

Dann haben wir ein Redhat-Upgrade durchgeführt und es gab ein Update für openssl: openssl-1.0.1e-48.el6_8.1.x86_64

Diese Version hat immer das Problem mit dem schlechten Handshake, wenn openssl unter Ubuntu 14.04 verwendet wird.

Habt ihr irgendwelche öffentlichen URLs, mit denen ich versuchen kann, um zu sehen, ob die Problemumgehungen geholfen haben, das Problem zu lösen, und es ist nur diese einzigartige Kombination, die ich habe, die das Problem ist?

Derselbe Computer ist in Ordnung, wenn REST-Anforderungen über den Browser gesendet werden (dh ohne Ubuntu openssl ).

Danke

Können Sie bitte die Ausgabe von rpm -q --changelog openssl bereitstellen?

[ admin@leke-2-2-8-11 ~]$ rpm -q --changelog openssl

• Mo 2. Mai 2016 Tomáš Mráz [email protected] 1.0.1e-48.1
• CVE-2016-2105 behoben – möglicher Überlauf in base64-Kodierung
• CVE-2016-2106 behoben - möglicher Überlauf in EVP_EncryptUpdate()
• CVE-2016-2107 behoben – Polsterorakel in genähtem AES-NI CBC-MAC
• CVE-2016-2108 behoben – Speicherbeschädigung im ASN.1-Encoder
• CVE-2016-2109 behoben – möglicher DoS beim Lesen von ASN.1-Daten aus BIO
• CVE-2016-0799 behoben – Speicherprobleme in BIO_printf
• Mittwoch, 24. Februar 2016 Tomáš Mráz [email protected] 1.0.1e-48
• CVE-2016-0702 behoben – Seitenkanalangriff auf modulare Potenzierung
• Behebung von CVE-2016-0705 – Double-Free beim Parsen privater DSA-Schlüssel
• CVE-2016-0797 behoben – Heap-Korruption in BN_hex2bn und BN_dec2bn
• Dienstag, 16. Februar 2016 Tomáš Mráz [email protected] 1.0.1e-47
• CVE-2015-3197 behoben – Erzwingung der SSLv2-Verschlüsselungssammlung
• Deaktivieren Sie SSLv2 in der generischen TLS-Methode
• Freitag, 15. Januar 2016 Tomáš Mráz [email protected] 1.0.1e-46
• 1-Byte-Speicherleck im pkcs12-Parse behoben (#1229871)
• einige Optionen des Geschwindigkeitsbefehls dokumentieren (#1197095)
• Donnerstag, 14. Januar 2016 Tomáš Mráz [email protected] 1.0.1e-45
• Korrigieren Sie hochpräzise Zeitstempel in der Zeitstempelbehörde
• Mo. 21. Dez. 2015 Tomáš Mráz [email protected] 1.0.1e-44
• CVE-2015-7575 behoben – Verwendung von MD5 in TLS1.2 nicht zulassen
• Freitag, 4. Dez. 2015 Tomáš Mráz [email protected] 1.0.1e-43
• CVE-2015-3194 behoben – Absturz der Zertifikatsprüfung mit fehlendem PSS-Parameter
• CVE-2015-3195 – X509_ATTRIBUTE Speicherleck behoben
• Behebung von CVE-2015-3196 – Race-Condition bei der Handhabung von PSK-Identitätshinweisen
• Dienstag, 23. Juni 2015 Tomáš Mráz [email protected] 1.0.1e-42
• Regression behoben, die durch einen Fehler im Fix für CVE-2015-1791 verursacht wurde
• Donnerstag, 11. Juni 2015 Tomáš Mráz [email protected] 1.0.1e-41
• verbesserte Fehlerbehebung für CVE-2015-1791
• fehlende Teile des CVE-2015-0209-Fixes für Korrektheit hinzugefügt, obwohl nicht ausnutzbar
• Dienstag, 9. Juni 2015 Tomáš Mráz [email protected] 1.0.1e-40
• CVE-2014-8176 behoben – ungültiger freier Code im DTLS-Puffer
• CVE-2015-1789 behoben – Out-of-Bounds-Lesen in X509_cmp_time
• CVE-2015-1790 behoben – PKCS7-Absturz mit fehlendem verschlüsseltem Inhalt
• Behebung von CVE-2015-1791 – Umgang mit Rennbedingungen NewSessionTicket
• Fix CVE-2015-1792 – CMS verifiziert Endlosschleife mit unbekannter Hash-Funktion
• Dienstag, 02. Juni 2015 Tomáš Mráz [email protected] 1.0.1e-39
• CVE-2015-3216 behoben – Regression in der RAND-Sperre, die Segfaults verursachen kann
  Lesen in Multithread-Anwendungen
• Mo, 25. Mai 2015 Tomáš Mráz [email protected] 1.0.1e-38
• CVE-2015-4000 beheben – Logjam-Angriff auf Client verhindern – einschränken
  die DH-Schlüsselgröße auf mindestens 768 Bit (Limit wird in Zukunft erhöht)
• Mittwoch, 25. März 2015 Tomáš Mráz [email protected] 1.0.1e-37
• Lassen Sie die AES-GCM-Beschränkung von 2 ^ 32 Operationen fallen, da dies der IV ist
  immer 96 Bit (32 Bit festes Feld + 64 Bit Aufruffeld)
• Donnerstag, 19. März 2015 Tomáš Mráz [email protected] 1.0.1e-36
• Update-Fix für CVE-2015-0287 auf das, was Upstream veröffentlicht wurde
• Mittwoch, 18. März 2015 Tomáš Mráz [email protected] 1.0.1e-35
• CVE-2015-0209 behoben – potenzielle Verwendung nach frei in d2i_ECPrivateKey()
• CVE-2015-0286 behoben – unsachgemäße Handhabung des booleschen ASN.1-Vergleichs
• Fix CVE-2015-0287 – ASN.1-Struktur-Wiederverwendungsdecodierungs-Speicherbeschädigung
• Fix CVE-2015-0288 - X509_to_X509_REQ NULL-Zeiger Dereferenzierung
• Fix CVE-2015-0289 – NULL-Dereferenzierung dekodiert ungültige PKCS#7-Daten
• CVE-2015-0292 behoben – Integer-Unterlauf im Base64-Decoder
• CVE-2015-0293 behoben – auslösbares Assertion im SSLv2-Server
• Dienstag, 3. März 2015 Tomáš Mráz [email protected] 1.0.1e-34
• Copy-Digest-Algorithmus bei der Handhabung des SNI-Kontextwechsels
• Dokumentation von Ciphersuites verbessern - Patch von Hubert Kario
• Unterstützung für die Einrichtung des Kerberos-Dienstes und Keytab hinzufügen
  s_server und s_client
• Dienstag, 13. Januar 2015 Tomáš Mráz [email protected] 1.0.1e-33
• CVE-2014-3570 behoben - falsche Berechnung in BN_sqr()
• CVE-2014-3571 behoben - möglicher Absturz in dtls1_get_record()
• CVE-2014-3572 behoben – mögliche Herabstufung der ECDH-Verschlüsselungssammlung auf den Nicht-PFS-Zustand
• Behebung von CVE-2014-8275 – verschiedene Probleme mit Zertifikat-Fingerabdrücken
• CVE-2015-0204 behoben – Unterstützung für flüchtige RSA-Schlüssel für den Nicht-Export entfernt
  Ciphersuites und auf dem Server
• CVE-2015-0205 behoben – kein nicht authentifiziertes Client-DH-Zertifikat zulassen
• CVE-2015-0206 behoben – mögliches Speicherleck beim Puffern von DTLS-Datensätzen
• Donnerstag, 16. Oktober 2014 Tomáš Mráz [email protected] 1.0.1e-32
• Verwenden Sie die FIPS-genehmigte Methode zur Berechnung von d in RSA
• Mittwoch, 15. Oktober 2014 Tomáš Mráz [email protected] 1.0.1e-31
• CVE-2014-3567 behoben – Speicherleck beim Umgang mit Sitzungstickets
• CVE-2014-3513 behoben – Speicherleck in der srtp-Unterstützung
• Unterstützung für Fallback-SCSV hinzugefügt, um CVE-2014-3566 teilweise abzuschwächen
  (Padding-Angriff auf SSL3)
• Freitag, 15. August 2014 Tomáš Mráz [email protected] 1.0.1e-30
• Hinzufügen von ECC-TLS-Erweiterungen zu DTLS (#1119800)
• Freitag, 8. August 2014 Tomáš Mráz [email protected] 1.0.1e-29
• CVE-2014-3505 behoben – Doublefree in der DTLS-Paketverarbeitung
• CVE-2014-3506 behoben – Speichererschöpfung in DTLS vermeiden
• CVE-2014-3507 behoben – Speicherlecks in DTLS vermeiden
• CVE-2014-3508 behoben - OID-Behandlung behoben, um Informationslecks zu vermeiden
• CVE-2014-3509 behoben – Race-Condition beim Analysieren von Server-Hello behoben
• CVE-2014-3510 behoben – DoS in der anonymen (EC)DH-Behandlung in DTLS behoben
• CVE-2014-3511 behoben – Protokoll-Downgrade über Fragmentierung nicht zulassen
• Mo, 16. Juni 2014 Tomáš Mráz [email protected] 1.0.1e-28
• Fix CVE-2014-0224 Fix, der die Unterstützung für die Wiederaufnahme von EAP-FAST-Sitzungen unterbrach
• Freitag, 6. Juni 2014 Tomáš Mráz [email protected] 1.0.1e-26
• Löschen Sie EXPORT, RC2 und DES aus der Standard-Verschlüsselungsliste (#1057520)
• flüchtige Schlüsselgröße drucken, die im TLS-Handshake ausgehandelt wurde (#1057715)
• Schließen Sie keine ECC-Verschlüsselungssammlungen in SSLv2-Client-Hello ein (#1090952)
• Verschlüsselungsfehler in BIO richtig erkennen (#1100819)
• Fehler bei der hmac-Integritätsprüfung, wenn die .hmac-Datei leer ist (#1105567)
• FIPS-Modus: Nehmen Sie die Einschränkungen für DSA-, DH- und RSA-Keygen vor
  Länge wird nur in der Umgebung OPENSSL_ENFORCE_MODULUS_BITS erzwungen
  Variable gesetzt
• Mo 2. Juni 2014 Tomáš Mráz [email protected] 1.0.1e-25
• CVE-2010-5298 behoben - mögliche Speichernutzung nach Kostenlos
• CVE-2014-0195 behoben – Pufferüberlauf durch ungültiges DTLS-Fragment
• Fix CVE-2014-0198 - mögliche Dereferenzierung des NULL-Zeigers
• CVE-2014-0221 behoben – DoS durch ungültiges DTLS-Handshake-Paket
• CVE-2014-0224 – SSL/TLS MITM-Schwachstelle behoben
• CVE-2014-3470 behoben – clientseitiges DoS bei Verwendung von anonymem ECDH
• Donnerstag, 22. Mai 2014 Tomáš Mráz [email protected] 1.0.1e-24
• fügen Sie die Unterstützung für die EC-Kurve secp521r1 hinzu
• Mo 7. April 2014 Tomáš Mráz [email protected] 1.0.1e-23
• Fix CVE-2014-0160 – Offenlegung von Informationen in der TLS-Heartbeat-Erweiterung
• Mo 17. März 2014 Tomáš Mráz [email protected] 1.0.1e-22
• Verwenden Sie den 2048-Bit-RSA-Schlüssel in FIPS-Selbsttests
• Mittwoch, 19. Februar 2014 Tomáš Mráz [email protected] 1.0.1e-21
• Fügen Sie DH_compute_key_padded hinzu, das für FIPS-CAVS-Tests benötigt wird
• 3des Stärke auf 128 Bit statt 168 setzen (#1056616)
• FIPS-Modus: Generieren Sie keine DSA-Schlüssel und DH-Parameter < 2048 Bit
• FIPS-Modus: zugelassenes RSA-Keygen verwenden (erlaubt nur 2048- und 3072-Bit-Schlüssel)
• FIPS-Modus: DH-Selbsttest hinzufügen
• FIPS-Modus: Setzen Sie DRBG bei RAND_add() ordnungsgemäß neu
• FIPS-Modus: RSA-Verschlüsselungs-/Entschlüsselungs-Selbsttest hinzufügen
• FIPS-Modus: Hardlimit für 2^32 GCM-Blockverschlüsselungen mit demselben Schlüssel hinzufügen
• Verwenden Sie die Schlüssellänge aus der Konfigurationsdatei, wenn req -newkey rsa aufgerufen wird
• Dienstag, 7. Januar 2014 Tomáš Mráz [email protected] 1.0.1e-20
• CVE-2013-4353 behoben – Ungültiger TLS-Handshake-Absturz
• Mo 6. Januar 2014 Tomáš Mráz [email protected] 1.0.1e-19
• CVE-2013-6450 behoben – möglicher MiTM-Angriff auf DTLS1
• Freitag, 20. Dezember 2013 Tomáš Mráz [email protected] 1.0.1e-18
• CVE-2013-6449 behoben – Absturz, wenn die Version in der SSL-Struktur falsch ist
• Donnerstag, 12. Dezember 2013 Tomáš Mráz [email protected] 1.0.1e-17
• fügen Sie einige No-Op-Symbole wieder hinzu, die versehentlich gelöscht wurden
• Donnerstag, 31. Oktober 2013 Tomáš Mráz [email protected] 1.0.1e-16
• werben Sie nicht für ECC-Kurven, die wir nicht unterstützen
• CPU-Identifikation auf Cyrix-CPUs behoben
• Freitag, 27. September 2013 Tomáš Mráz [email protected] 1.0.1e-15
• DTLS1 im FIPS-Modus arbeiten lassen
• Vermeiden Sie RSA und DSA 512 Bit und Whirlpool in 'openssl speed' im FIPS-Modus
• Donnerstag, 26. September 2013 Tomáš Mráz [email protected] 1.0.1e-14
• Installation von dracut-fips zeigt an, dass das FIPS-Modul installiert ist
• Mo 23. Sep 2013 Tomáš Mráz [email protected] 1.0.1e-13
• Vermeiden Sie das Löschen von libssl.so aus libcrypto
• Freitag, 20. September 2013 Tomáš Mráz [email protected] 1.0.1e-12
• Kleines Speicherleck im FIPS-AES-Selbsttest behoben
• segfault in openssl speed hmac im FIPS-Modus behoben
• Donnerstag, 12. September 2013 Tomáš Mráz [email protected] 1.0.1e-11
• Dokumentieren Sie die nextprotoneg-Option in Manpages
  Originalpatch von Hubert Kario
• Donnerstag, 29. August 2013 Tomas Mraz [email protected] 1.0.1e-9
• Führen Sie die FIPS-Selbsttests immer im Bibliothekskonstruktor durch
  wenn das FIPS-Modul installiert ist
• Freitag, 16. August 2013 Tomas Mraz [email protected] 1.0.1e-8
• Korrigieren Sie die Verwendung von rdrand, falls verfügbar
• mehr Commits aus dem Upstream herausgepickt
• Dokumentation korrigiert
• Freitag, 26. Juli 2013 Tomas Mraz [email protected] 1.0.1e-7
• zusätzliche manuelle Seitenkorrektur
• Verwenden Sie die Symbolversionierung auch für die Textversion
• Donnerstag, 25. Juli 2013 Tomas Mraz [email protected] 1.0.1e-6
• zusätzliche Handbuchseiten-Korrekturen
• Bereinigungsgeschwindigkeitsbefehlsausgabe für ECDH ECDSA
• Freitag, 19. Juli 2013 Tomas Mraz [email protected] 1.0.1e-5
• Verwenden Sie das _prefix-Makro
• Mittwoch, 10. Juli 2013 Tomas Mraz [email protected] 1.0.1e-4
• relro linking flag hinzufügen
• Mittwoch, 10. Juli 2013 Tomas Mraz [email protected] 1.0.1e-2
• fügen Sie Unterstützung für die Option -trusted_first für die Überprüfung der Zertifikatskette hinzu
• Freitag, 31. Mai 2013 Tomas Mraz [email protected] 1.0.1e-1
• Rebase auf die 1.0.1e Upstream-Version
• Mo, 25. Februar 2013 Tomas Mraz [email protected] 1.0.0-28
• Fix für CVE-2013-0169 – SSL/TLS CBC-Timing-Angriff (#907589)
• Fix für CVE-2013-0166 – DoS in der OCSP-Signaturprüfung (#908052)
• Komprimierung nur aktivieren, wenn explizit danach gefragt oder OPENSSL_DEFAULT_ZLIB
  Umgebungsvariable ist gesetzt (behebt CVE-2012-4929 #857051)
• Verwenden Sie überall __secure_getenv() anstelle von getenv() (#839735)
• Freitag, 12. Oktober 2012 Tomas Mraz [email protected] 1.0.0-27
• sslrand(1)- und sslpasswd(1)-Referenz in der openssl(1)-Manpage behoben (#841645)
• Überflüssiges lib64-Fixup in pkgconfig .pc-Dateien löschen (#770872)
• erzwinge BIO_accept_new(*:), um IPv4 abzuhören
• Mittwoch, 15. August 2012 Tomas Mraz [email protected] 1.0.0-26
• Verwenden Sie PKCS#8 beim Schreiben privater Schlüssel im FIPS-Modus als alt
  Der PEM-Verschlüsselungsmodus ist nicht FIPS-kompatibel (#812348)
• Dienstag, 15. Mai 2012 Tomas Mraz [email protected] 1.0.0-25
• Fix für CVE-2012-2333 – falsche Überprüfung der Datensatzlänge in DTLS (#820686)
• tkeylen im CVE-2012-0884-Fix korrekt initialisieren
• Donnerstag, 19. April 2012 Tomas Mraz [email protected] 1.0.0-24
• Fix für CVE-2012-2110 – Speicherbeschädigung in asn1_d2i_read_bio() (#814185)
• Mo, 19. März 2012 Tomas Mraz [email protected] 1.0.0-23
• Behebung eines Problems mit dem SGC-Neustart-Patch, das den Handshake beenden könnte
  falsch
• Fix für CVE-2012-0884 – MMA-Schwachstelle im CMS- und PKCS#7-Code (#802725)
• Fix für CVE-2012-1165 – NULL-Lese-Dereferenzierung bei fehlerhaften MIME-Headern (#802489)
• Donnerstag, 1. März 2012 Tomas Mraz [email protected] 1.0.0-22
• Korrigieren Sie die falsche Verschlüsselung von nicht ausgerichteten Chunks in den Modi CFB, OFB und CTR
• Donnerstag, 19. Januar 2012 Tomas Mraz [email protected] 1.0.0-21
• Fix für CVE-2011-4108 & CVE-2012-0050 – DTLS-Klartext-Wiederherstellung
  Schwachstelle und zusätzliche DTLS-Korrekturen (#771770)
• Fix für CVE-2011-4576 – nicht initialisiertes SSL 3.0-Padding (#771775)
• Fix für CVE-2011-4577 – möglicher DoS durch fehlerhafte RFC 3779-Daten (#771778)
• Fix für CVE-2011-4619 – SGC Neustart DoS-Angriff (#771780)
• Mo, 31. Okt. 2011 Tomas Mraz [email protected] 1.0.0-20
• x86cpuid.pl reparieren - Patch von Paolo Bonzini
• Donnerstag, 29. September 2011 Tomas Mraz [email protected] 1.0.0-19
• bekannten Antworttest für SHA2-Algorithmen hinzufügen
• Mittwoch, 21. September 2011 Tomas Mraz [email protected] 1.0.0-18
• fehlende Initialisierung einer Variable in der CHIL-Engine behoben (#740188)
• Mo, 12. September 2011 Tomas Mraz [email protected] 1.0.0-17
• Initialisieren Sie X509_STORE_CTX ordnungsgemäß für CRL-Lookups - CVE-2011-3207
  (#736087)
• Mittwoch, 24. August 2011 Tomas Mraz [email protected] 1.0.0-16
• Führen Sie die Optimierungen für AES-NI, SHA1 und RC4 von intelx zusammen
  Engine zu den internen Implementierungen
• Mo, 15. August 2011 Tomas Mraz [email protected] 1.0.0-15
• bessere Dokumentation der verfügbaren Digests in Apps (#693858)
• rückportierte CHIL-Engine-Korrekturen (#693863)
• Erlauben Sie das Testen des Builds ohne Downstream-Patches (#708511)
• teilweises RELRO beim Linken aktivieren (#723994)
• Intelx-Engine mit verbesserter Leistung auf neuen Intel-CPUs hinzufügen
• Fügen Sie die Umgebungsvariable OPENSSL_DISABLE_AES_NI hinzu, die deaktiviert
  die AES-NI-Unterstützung (beeinflusst nicht die intelx-Engine)
• Mittwoch, 8. Juni 2011 Tomas Mraz [email protected] 1.0.0-14
• Verwenden Sie die AES-NI-Engine im FIPS-Modus
• Dienstag, 24. Mai 2011 Tomas Mraz [email protected] 1.0.0-11
• API hinzufügen, die für CAVS-Tests der neuen DSA-Parametergeneration erforderlich ist
• Donnerstag, 10. Februar 2011 Tomas Mraz [email protected] 1.0.0-10
• OCSP-Stapling-Schwachstelle behoben – CVE-2011-0014 (#676063)
• Korrigieren Sie das Dokument README.FIPS
• Freitag, 4. Februar 2011 Tomas Mraz [email protected] 1.0.0-8
• Fügen Sie den Parameter -x931 zum Befehl openssl genrsa hinzu, um ANSI X9.31 zu verwenden
  Methode zur Schlüsselgenerierung
• Verwenden Sie die FIPS-186-3-Methode für die DSA-Parametergenerierung
• Fügen Sie die Umgebungsvariable OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW hinzu
  um die Verwendung von MD5 zu ermöglichen, wenn sich das System im Wartungszustand befindet
  auch wenn das /proc fips-Flag gesetzt ist
• Lassen Sie den Befehl openssl pkcs12 standardmäßig im FIPS-Modus funktionieren
• Mo, 24. Januar 2011 Tomas Mraz [email protected] 1.0.0-7
• hören auf ipv6-Platzhalter in s_server, damit wir Verbindungen akzeptieren
  sowohl von ipv4 als auch von ipv6 (#601612)
• Korrigieren Sie den Befehl openssl speed, damit er im FIPS-Modus verwendet werden kann
  mit FIPS-zulässigen Chiffren (#619762)
• Dienstag, 7. Dezember 2010 Tomas Mraz [email protected] 1.0.0-6
• Code für SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG deaktivieren - CVE-2010-3864
  (#649304)
• Freitag, 5. November 2010 Tomas Mraz [email protected] 1.0.0-5
• Race im Erweiterungs-Parsing-Code behoben – CVE-2010-3864 (#649304)
• Mittwoch, 30. Juni 2010 Tomas Mraz [email protected] 1.0.0-4
• Openssl-Manpage behoben (#609484)
• Freitag, 4. Juni 2010 Tomas Mraz [email protected] 1.0.0-3
• falsche ASN.1-Definition von OriginatorInfo behoben - CVE-2010-0742 (#598738)
• Informationsleck in rsa_verify_recover behoben – CVE-2010-1633 (#598732)
• Mittwoch, 19. Mai 2010 Tomas Mraz [email protected] 1.0.0-2
• CA-Verzeichnis lesbar machen - die privaten Schlüssel sind im privaten Unterverzeichnis (#584810)
• ein paar Korrekturen von Upstream-CVS
• X509_NAME_hash_old im FIPS-Modus arbeiten lassen (#568395)
• Dienstag, 30. März 2010 Tomas Mraz [email protected] 1.0.0-1
• Update auf die endgültige Upstream-Version 1.0.0
• Dienstag, 16. Februar 2010 Tomas Mraz [email protected] 1.0.0-0.22.beta5
• TLS im FIPS-Modus arbeiten lassen
• Freitag, 12. Februar 2010 Tomas Mraz [email protected] 1.0.0-0.21.beta5
• Umgang mit der Nulllänge in Assembler-Implementierungen von
  OPENSSL_cleanse (#564029)
• schlägt in s_server nicht fehl, wenn der Client-Hostname nicht auflösbar ist (#561260)
• Mittwoch, 20. Januar 2010 Tomas Mraz [email protected] 1.0.0-0.20.beta5
• neue Upstream-Version
• Donnerstag, 14. Januar 2010 Tomas Mraz [email protected] 1.0.0-0.19.beta4
• CVE-2009-4355 behoben – Leck in Anwendungen, die falsch aufrufen
  CRYPTO_free_all_ex_data() vor dem Beenden der Anwendung (#546707)
• Upstream-Fix für die Handhabung zukünftiger TLS-Protokollversionen
• Mittwoch, 13. Januar 2010 Tomas Mraz [email protected] 1.0.0-0.18.beta4
• Unterstützung für Intel AES-NI hinzufügen
• Donnerstag, 7. Januar 2010 Tomas Mraz [email protected] 1.0.0-0.17.beta4
• Handhabung der Upstream-Fix-Komprimierung bei Sitzungswiederaufnahme
• verschiedene Nullprüfungen und andere kleine Korrekturen von Upstream
• Upstream-Änderungen für die Nachverhandlungsinfo gemäß dem neuesten Entwurf
• Mo, 23. November 2009 Tomas Mraz [email protected] 1.0.0-0.16.beta4
• Nicht-Fips-Mingw-Build behoben (Patch von Kalev Lember)
• IPV6-Fix für DTLS hinzufügen
• Freitag, 20. November 2009 Tomas Mraz [email protected] 1.0.0-0.15.beta4
• Fügen Sie eine bessere Fehlerberichterstattung für die unsichere Neuverhandlung hinzu
• Freitag, 20. November 2009 Tomas Mraz [email protected] 1.0.0-0.14.beta4
• Build auf s390x reparieren
• Mittwoch, 18. November 2009 Tomas Mraz [email protected] 1.0.0-0.13.beta4
• Erzwingung der Neuverhandlungserweiterung auf dem Client deaktivieren (#537962)
• Korrekturen aus dem aktuellen Upstream-Snapshot hinzufügen
• Freitag, 13. November 2009 Tomas Mraz [email protected] 1.0.0-0.12.beta4
• Behalten Sie den Beta-Status in Versionsnummer 3 bei, damit wir nicht neu erstellen müssen
  openssh und möglicherweise andere Abhängigkeiten mit zu strenger Versionsprüfung
• Donnerstag, 12. November 2009 Tomas Mraz [email protected] 1.0.0-0.11.beta4
• Update auf neue Upstream-Version, kein Soname-Bump erforderlich
• Fix CVE-2009-3555 – Beachten Sie, dass der Fix umgangen wird, wenn SSL_OP_ALL verwendet wird
  die Kompatibilität mit unfixed Clients ist also nicht unterbrochen. Die
  Protokollerweiterung ist auch nicht endgültig.
• Freitag, 16. Oktober 2009 Tomas Mraz [email protected] 1.0.0-0.10.beta3
• Verwendung von freigegebenem Speicher behoben, wenn zuvor SSL_CTX_free() aufgerufen wurde
  SSL_free() (#521342)
• Donnerstag, 8. Oktober 2009 Tomas Mraz [email protected] 1.0.0-0.9.beta3
• Tippfehler im DTLS1-Code behoben (#527015)
• Leck in der Fehlerbehandlung von d2i_SSL_SESSION() behoben
• Mittwoch, 30. September 2009 Tomas Mraz [email protected] 1.0.0-0.8.beta3
• RSA- und DSA-FIPS-Selbsttests behoben
• x86_64-Kamelien-Assembler-Code wieder aktivieren (#521127)
• Freitag, 4. September 2009 Tomas Mraz [email protected] 1.0.0-0.7.beta3
• x86_64-Camellia-Assembler-Code vorübergehend deaktivieren (#521127)
• Mo, 31. August 2009 Tomas Mraz [email protected] 1.0.0-0.6.beta3
• Repariert openssl dgst -dss1 (#520152)
• Mittwoch, 26. August 2009 Tomas Mraz [email protected] 1.0.0-0.5.beta3
• Lassen Sie die Compat-Symlink-Hacks fallen
• Sa., 22. August 2009 Tomas Mraz [email protected] 1.0.0-0.4.beta3
• SSL_CIPHER_description() konfigurieren
• Freitag, 21. August 2009 Tomas Mraz [email protected] 1.0.0-0.3.beta3
• fix WWW:Curl :Einfache Referenz in tsget
• Freitag, 21. August 2009 Tomas Mraz [email protected] 1.0.0-0.2.beta3
• Aktivieren Sie MD-2
• Donnerstag, 20. August 2009 Tomas Mraz [email protected] 1.0.0-0.1.beta3
• Update auf die neue Hauptversion der Originalautoren
• Sa., 25. Juli 2009 Fedora Release Engineering [email protected] - 0.9.8k-7
• Neu erstellt für https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
• Mittwoch, 22. Juli 2009 Bill Nottingham [email protected]
• Bauen Sie keine speziellen 'optimierten' Versionen für i686, da dies die Basis ist
  Arch jetzt in Fedora
• Dienstag, 30. Juni 2009 Tomas Mraz [email protected] 0.9.8k-6
• Abbruch, wenn Selbsttests fehlgeschlagen sind und Zufallszahlengenerator abgefragt wird
• erwähnen Sie die Routinen EVP_aes und EVP_sha2xx in den Manpages
• fügen Sie README.FIPS hinzu
• CA-Verzeichnis als absoluten Pfad festlegen (#445344)
• Ändern Sie die Standardlänge für die RSA-Schlüsselgenerierung auf 2048 (#484101)
• Donnerstag, 21. Mai 2009 Tomas Mraz [email protected] 0.9.8k-5
• CVE-2009-1377 CVE-2009-1378 CVE-2009-1379 behoben
  (DTLS-DoS-Probleme) (#501253, #501254, #501572)
• Dienstag, 21. April 2009 Tomas Mraz [email protected] 0.9.8k-4
• Unterstützung des Kompatibilitäts-DTLS-Modus für CISCO AnyConnect (#464629)
• Freitag, 17. April 2009 Tomas Mraz [email protected] 0.9.8k-3
• Korrigieren Sie die SHLIB_VERSION-Definition
• Mittwoch, 15. April 2009 Tomas Mraz [email protected] 0.9.8k-2
• Unterstützung für mehrere CRLs mit demselben Betreff hinzufügen
• Nur dynamische Engine-Unterstützung im FIPS-Modus laden
• Mittwoch, 25. März 2009 Tomas Mraz [email protected] 0.9.8k-1
• Update auf neue Upstream-Version (kleinere Fehlerbehebungen, Security
  nur Fehlerbehebungen und Maschinencode-Optimierungen)
• Donnerstag, 19. März 2009 Tomas Mraz [email protected] 0.9.8j-10
• Bibliotheken nach /usr/lib verschieben (#239375)
• Freitag, 13. März 2009 Tomas Mraz [email protected] 0.9.8j-9
• Fügen Sie ein statisches Unterpaket hinzu
• Donnerstag, 26. Februar 2009 Fedora Release Engineering [email protected] - 0.9.8j-8
• Neu erstellt für https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
• Mo 2. Feb 2009 Tomas Mraz [email protected] 0.9.8j-7
• muss auch die Prüfsumme von libssl.so im FIPS-Modus überprüfen
• Holen Sie sich den Seed für FIPS rng direkt vom Kernelgerät
• löschen Sie die temporären Symlinks
• Mo, 26. Januar 2009 Tomas Mraz [email protected] 0.9.8j-6
• Löschen Sie den temporären Triggerpostun und den symbolischen Link in post
• Korrigieren Sie die pkgconfig-Dateien und löschen Sie die unnötigen buildrequires
  auf pkgconfig, da es sich um eine rpmbuild-Abhängigkeit handelt (#481419)
• Samstag, 17. Januar 2009 Tomas Mraz [email protected] 0.9.8j-5
• Fügen Sie temporäres Triggerpostun hinzu, um die Symlinks wiederherzustellen
• Samstag, 17. Januar 2009 Tomas Mraz [email protected] 0.9.8j-4
• keine Pairwise-Key-Tests im Non-Fips-Modus (#479817)
• Freitag, 16. Januar 2009 Tomas Mraz [email protected] 0.9.8j-3
• noch robusterer Test für die temporären Symlinks
• Freitag, 16. Januar 2009 Tomas Mraz [email protected] 0.9.8j-2
• Versuchen Sie sicherzustellen, dass die temporären symbolischen Links vorhanden sind
• Donnerstag, 15. Januar 2009 Tomas Mraz [email protected] 0.9.8j-1
• neue Upstream-Version mit notwendigem Soname-Bump (#455753)
• Stellen Sie vorübergehend einen Symlink zum alten Soname bereit, um eine Neuerstellung zu ermöglichen
  die abhängigen Pakete in Rohhaut
• eap-fast-Unterstützung hinzufügen (#428181)
• Möglichkeit hinzufügen, zlib durch Einstellung zu deaktivieren
• Unterstützung für den FIPS-Modus zu Testzwecken hinzugefügt
• Dereferenzieren Sie einige ungültige Smime-Dateien nicht auf Null
• buildrequires pkgconfig hinzufügen (#479493)
• Sonntag, 10. August 2008 Tomas Mraz [email protected] 0,9,8 g-11
• fügen Sie für SSLv3 auch keine tls-Erweiterungen zu server hello hinzu
• Montag, 2. Juni 2008 Joe Orton [email protected] 0,9,8 g-10
• Verschieben Sie das Root-CA-Paket in das Paket „ca-certificates“.
• Mittwoch, 28. Mai 2008 Tomas Mraz [email protected] 0.9.8g-9
• CVE-2008-0891 behoben – Absturz der Servernamenserweiterung (#448492)
• CVE-2008-1672 behoben – Server-Key-Exchange-Meldung lässt Absturz aus (#448495)
• Dienstag, 27. Mai 2008 Tomas Mraz [email protected] 0.9.8g-8
• Super-H-Fußgewölbestütze
• Drop-Workaround für Bug 199604, da er in gcc-4.3 behoben werden sollte
• Montag, 19. Mai 2008 Tom „spot“ Callaway [email protected] 0.9.8g-7
• Sparc-Handhabung
• Mo, 10. März 2008 Joe Orton [email protected] 0,9,8 g-6
• Update auf neues Root-CA-Bundle von mozilla.org (r1.45)
• Mittwoch, 20. Februar 2008 Fedora Release Engineering [email protected] - 0.9.8g-5
• Automatische Neuerstellung für GCC 4.3
• Donnerstag, 24. Januar 2008 Tomas Mraz [email protected] 0,9,8 g-4
• Fehlerbehebungen für Zusammenführungsprüfungen (#226220)
• passen Sie die SHLIB_VERSION_NUMBER an, um den Bibliotheksnamen widerzuspiegeln (#429846)
• Donnerstag, 13. Dezember 2007 Tomas Mraz [email protected] 0,9,8 g-3
• Standardpfade festlegen, wenn keine expliziten Pfade festgelegt sind (#418771)
• fügen Sie keine tls-Erweiterungen zum Client hello für SSLv3 hinzu (#422081)
• Dienstag, 4. Dezember 2007 Tomas Mraz [email protected] 0,9,8 g-2
• Aktivieren Sie einige neue Krypto-Algorithmen und -Funktionen
• einige weitere wichtige Fehlerbehebungen von Openssl CVS hinzufügen
• Montag, 3. Dezember 2007 Tomas Mraz [email protected] 0,9,8 g-1
• Update auf die neueste Upstream-Version, SONAME auf 7 gestoßen
• Mo, 15. Okt. 2007 Joe Orton [email protected] 0.9.8b-17
• Update auf das neue CA-Bundle von mozilla.org
• Freitag, 12. Okt. 2007 Tomas Mraz [email protected] 0.9.8b-16
• CVE-2007-5135 behoben – off-by-one in SSL_get_shared_ciphers (#309801)
• CVE-2007-4995 behoben – Pufferüberlauf für DTLS-Fragmente außer Betrieb (#321191)
• Alpha-Unterbögen hinzufügen (#296031)
• Dienstag, 21. August 2007 Tomas Mraz [email protected] 0.9.8b-15
• wieder aufbauen
• Freitag, 3. August 2007 Tomas Mraz [email protected] 0.9.8b-14
• Verwenden Sie localhost in der Testsuite, behebt hoffentlich den langsamen Build in Koji
• CVE-2007-3108 - Seitenkanalangriff auf private Schlüssel behoben (#250577)
• Passen Sie die SSL-Sitzungs-Cache-ID streng an (#233599)
• Mittwoch, 25. Juli 2007 Tomas Mraz [email protected] 0.9.8b-13
• ermöglicht den Aufbau auf ARM-Architekturen (#245417)
• Verwenden Sie Referenzzeitstempel, um Multilib-Konflikte zu vermeiden (#218064)
• -devel Paket muss pkgconfig erfordern (#241031)
• Mo. 11. Dez. 2006 Tomas Mraz [email protected] 0.9.8b-12
• Duplikate in add_dir richtig erkennen (#206346)
• Donnerstag, 30. November 2006 Tomas Mraz [email protected] 0.9.8b-11
• die vorherige Änderung hat X509_NAME_cmp immer noch nicht transitiv gemacht
• Donnerstag, 23. November 2006 Tomas Mraz [email protected] 0.9.8b-10
• Machen Sie X509_NAME_cmp transitiv, andernfalls Zertifikatssuche
  ist kaputt (#216050)
• Donnerstag, 2. November 2006 Tomas Mraz [email protected] 0.9.8b-9
• Aliasing-Fehler beim Laden der Engine, Patch von IBM (#213216)
• Mo, 2. Okt. 2006 Tomas Mraz [email protected] 0.9.8b-8
• CVE-2006-2940-Fix war falsch (#208744)
• Mo, 25. September 2006 Tomas Mraz [email protected] 0.9.8b-7
• CVE-2006-2937 behoben – falsch behandelter Fehler beim ASN.1-Parsing (#207276)
• CVE-2006-2940 behoben – parasitäre öffentliche Schlüssel DoS (#207274)
• CVE-2006-3738 behoben – Pufferüberlauf in SSL_get_shared_ciphers (#206940)
• Behebung von CVE-2006-4343 – SSLv2-Client-DoS (#206940)
• Dienstag, 5. September 2006 Tomas Mraz [email protected] 0.9.8b-6
• CVE-2006-4339 behoben – verhindert Angriffe auf PKCS#1 v1.5-Signaturen (#205180)
• Mittwoch, 2. August 2006 Tomas Mraz [email protected] - 0.9.8b-5
• Pufferung auf stdio/stdout FILE auf none setzen, wenn bufsize gesetzt ist (#200580)
  Patch von IBM
• Freitag, 28. Juli 2006 Alexandre Oliva [email protected] - 0.9.8b-4.1
• Neuerstellung mit neuen binutils (#200330)
• Freitag, 21. Juli 2006 Tomas Mraz [email protected] - 0.9.8b-4
• fügen Sie eine vorübergehende Problemumgehung für sha512-Testfehler auf s390 hinzu (#199604)
• Donnerstag, 20. Juli 2006 Tomas Mraz [email protected]
• IPv6-Unterstützung zu s_client und s_server hinzufügen (von Jan Pazdziora) (#198737)
• Hinzufügen von Patches für BN-Threadsicherheit, AES-Cache-Kollisionsangriffs-Hazard-Fix und
  pkcs7-Code-Memleak-Fix von Upstream-CVS
• Mittwoch, 12. Juli 2006 Jesse Keating [email protected] - 0.9.8b-3.1
• wieder aufbauen
• Mittwoch, 21. Juni 2006 Tomas Mraz [email protected] - 0.9.8b-3
• libica- und ica-Engine aus Build entfernt
• Mittwoch, 21. Juni 2006 Joe Orton [email protected]
• Update auf neues CA-Bundle von mozilla.org; fügt CA-Zertifikate hinzu
  von netlock.hu und startcom.org
• Montag, 5. Juni 2006 Tomas Mraz [email protected] - 0.9.8b-2
• Einige rpmlint-Warnungen behoben
• bessere Lösung für #173399 von Upstream
• Upstream-Fix für pkcs12
• Donnerstag, 11. Mai 2006 Tomas Mraz [email protected] - 0.9.8b-1
• Upgrade auf neue Version, bleibt ABI-kompatibel
• es gibt keine linux/config.h mehr (war sowieso leer)
• Dienstag, 4. April 2006 Tomas Mraz [email protected] - 0.9.8a-6
• veraltete offene Handles in Libica behoben (#177155)
• Build behoben, wenn 'rand' oder 'passwd' im Buildroot-Pfad (#178782)
• VIA Padlock Engine initialisieren (#186857)
• Freitag, 10. Februar 2006 Jesse Keating [email protected] - 0.9.8a-5.2
• Bump erneut für Double-Long-Bug auf ppc(64)
• Dienstag, 7. Februar 2006 Jesse Keating [email protected] - 0.9.8a-5.1
• neu aufgebaut für neue gcc4.1-Snapshots und glibc-Änderungen
• Donnerstag, 15. Dezember 2005 Tomas Mraz [email protected] 0.9.8a-5
• Schließen Sie SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG nicht ein
  in SSL_OP_ALL (#175779)
• Freitag, 9. Dezember 2005, Jesse Keating , [email protected]
• wieder aufgebaut
• Dienstag, 29. November 2005 Tomas Mraz [email protected] 0.9.8a-4
• Build (-lcrypto wurde fälschlicherweise fallen gelassen) der aktualisierten libica behoben
• aktualisierte ICA-Engine auf 1.3.6-rc3
• Dienstag, 22. November 2005 Tomas Mraz [email protected] 0.9.8a-3
• Deaktivieren Sie vorerst integrierte Komprimierungsmethoden, bis sie funktionieren
  richtig (#173399)
• Mittwoch, 16. November 2005 Tomas Mraz [email protected] 0.9.8a-2
• Legen Sie nicht -rpath für die Openssl-Binärdatei fest
• Dienstag, 8. November 2005 Tomas Mraz [email protected] 0.9.8a-1
• neue Upstream-Version
• Patches teilweise neu nummeriert
• Freitag, 21. Oktober 2005 Tomas Mraz [email protected] 0.9.7f-11
• aktualisierte IBM ICA-Engine-Bibliothek und Patch auf die neueste Upstream-Version
• Mittwoch, 12. Oktober 2005 Tomas Mraz [email protected] 0.9.7f-10
• CAN-2005-2969 behoben - SSL_OP_MSIE_SSLV2_RSA_PADDING entfernen
  deaktiviert die Gegenmaßnahme gegen Man-in-the-Middle-Angriffe in SSLv2
  (#169863)
• Verwenden Sie sha1 als Standard für CA- und Zertifikatsanforderungen – CAN-2005-2946 (#169803)
• Dienstag, 23. August 2005 Tomas Mraz [email protected] 0.9.7f-9
• *.so.soversion als symbolische Links in /lib hinzufügen (#165264)
• entpackte Symlinks entfernen (#159595)
• Fixes von Upstream (konstante Fixes für DSA,
  bn Assembler div auf ppc arch, Speicher auf realloc initialisieren)
• Donnerstag, 11. August 2005 Phil Knirsch [email protected] 0.9.7f-8
• IBM-Patch für die ICA-Engine auf die neueste Upstream-Version aktualisiert.
• Donnerstag, 19. Mai 2005 Tomas Mraz [email protected] 0.9.7f-7
• CAN-2005-0109 behoben - verwende konstante Zeit/Speicherzugriff mod_exp
  Bits des privaten Schlüssels werden also nicht durch Cache-Räumung durchgesickert (#157631)
• ein paar weitere Korrekturen von Upstream 0.9.7g
• Mittwoch, 27. April 2005 Tomas Mraz [email protected] 0.9.7f-6
• benutze poll statt select in rand (#128285)
• Korrigieren Sie Makefile.certificate so, dass es auf /etc/pki/tls zeigt
• Ändern Sie die Standardzeichenfolgenmaske in ASN1 in PrintableString+UTF8String
• Montag, 25. April 2005 Joe Orton [email protected] 0.9.7f-5
• Update auf Revision 1.37 des Mozilla CA-Pakets
• Donnerstag, 21. April 2005 Tomas Mraz [email protected] 0.9.7f-4
• Zertifikate nach _sysconfdir/pki/tls verschieben (#143392)
• Verschieben Sie CA-Verzeichnisse nach _sysconfdir/pki/CA
• patchen Sie das CA-Skript und die Standardkonfiguration so, dass es auf die zeigt
  CA-Verzeichnisse
• Freitag, 1. April 2005 Tomas Mraz [email protected] 0.9.7f-3
• Nicht initialisierte Variable darf nicht als Eingabe in Inline verwendet werden
  Montage
• reaktivieren Sie die x86_64-Assembly erneut
• Donnerstag, 31. März 2005 Tomas Mraz [email protected] 0.9.7f-2
• fügen Sie RC4_CHAR auf ia64 und x86_64 zurück, damit die ABI nicht beschädigt wird
• Deaktivieren Sie die defekte Bignum-Assembly auf x86_64
• Mittwoch, 30. März 2005 Tomas Mraz [email protected] 0.9.7f-1
• Optimierungen auf ppc64 und Assembler-Code auf ia64 reaktivieren
• Upgrade auf neue Upstream-Version (kein Soname-Bump erforderlich)
• Thread-Test deaktivieren - es wurde der Backport des getestet
  RSA-Blindung - nicht mehr erforderlich
• Unterstützung zum Ändern der Seriennummer hinzugefügt
  Makefile.certificate (#151188)
• ca-bundle.crt zu einer Konfigurationsdatei machen (#118903)
• Dienstag, 1. März 2005 Tomas Mraz [email protected] 0.9.7e-3
• libcrypto sollte nicht von libkrb5 abhängen (#135961)
• Mo, 28. Februar 2005 Tomas Mraz [email protected] 0.9.7e-2
• wieder aufbauen
• Mo 28. Feb 2005 Tomas Mraz [email protected] 0.9.7e-1
• neue Upstream-Quelle, aktualisierte Patches
• Patch hinzugefügt, damit wir hoffentlich mit dem kommenden ABI kompatibel sind
  0.9.7f
• Donnerstag, 10. Februar 2005 Tomas Mraz [email protected]
• Unterstützung des UTF-8-Zeichensatzes im Makefile.certificate (#134944)
• cmp zu BuildPrereq hinzugefügt
• Donnerstag, 27. Januar 2005 Joe Orton [email protected] 0.9.7a-46
• neue ca-bundle.crt aus Mozilla certdata.txt generieren (Revision 1.32)
• Donnerstag, 23. Dezember 2004 Phil Knirsch [email protected] 0.9.7a-45
• Behobener und aktualisierter libica-1.3.4-urandom.patch-Patch (#122967)
• Freitag, 19. November 2004 Nalin Dahyabhai [email protected] 0.9.7a-44
• wieder aufbauen
• Freitag, 19. November 2004 Nalin Dahyabhai [email protected] 0.9.7a-43
• wieder aufbauen
• Freitag, 19. November 2004 Nalin Dahyabhai [email protected] 0.9.7a-42
• wieder aufbauen
• Freitag, 19. November 2004 Nalin Dahyabhai [email protected] 0.9.7a-41
• entferne der_chop, wie es Upstream cvs getan hat (CAN-2004-0975, #140040)
• Dienstag, 5. Okt. 2004 Phil Knirsch [email protected] 0.9.7a-40
• Neueste Libica-Version mit wichtigen Bugfixes enthalten
• Dienstag, 15. Juni 2004 Elliot Lee [email protected]
• wieder aufgebaut
• Mo, 14. Juni 2004 Phil Knirsch [email protected] 0.9.7a-38
• IBM-Patch für die ICA-Engine auf die neueste Upstream-Version aktualisiert.
• Montag, 7. Juni 2004 Nalin Dahyabhai [email protected] 0.9.7a-37
• Build für linux-alpha-gcc anstelle von alpha-gcc auf alpha (Jeff Garzik)
• Dienstag, 25. Mai 2004 Nalin Dahyabhai [email protected] 0.9.7a-36
• behandelt %{_arch}=i486/i586/i686/athlon-Fälle in der Zwischenstufe
  Überschrift (#124303)
• Donnerstag, 25. März 2004 Joe Orton [email protected] 0.9.7a-35
• Sicherheitsfixes für CAN-2004-0079, CAN-2004-0112 hinzugefügt
• Dienstag, 16. März 2004 Phil Knirsch [email protected]
• Libica-Dateispezifikation korrigiert.
• Donnerstag, 11. März 2004 Nalin Dahyabhai [email protected] 0.9.7a-34
• ppc/ppc64 definieren powerpc / powerpc64 , nicht ppc / ppc64 , fix
  der Zwischenkopf
• Mittwoch, 10. März 2004 Nalin Dahyabhai [email protected] 0.9.7a-33
• ein Zwischenprodukt hinzufügender nach rechts zeigt
  Arch-spezifische opensslconf.h auf Multilib-Bögen
• Dienstag, 02. März 2004 Elliot Lee [email protected]
• wieder aufgebaut
• Donnerstag, 26. Februar 2004 Phil Knirsch [email protected] 0.9.7a-32
• Libica auf die neueste Upstream-Version 1.3.5 aktualisiert.
• Dienstag, 17. Februar 2004 Phil Knirsch [email protected] 0.9.7a-31
• Aktualisieren Sie den ICA-Krypto-Engine-Patch von IBM auf die neueste Version.
• Freitag, 13. Februar 2004 Elliot Lee [email protected]
• wieder aufgebaut
• Freitag, 13. Februar 2004 Phil Knirsch [email protected] 0.9.7a-29
• wieder aufgebaut
• Mittwoch, 11. Februar 2004 Phil Knirsch [email protected] 0.9.7a-28
• Libica-Build korrigiert.
• Mittwoch, 4. Februar 2004 Nalin Dahyabhai [email protected]
• "-ldl" hinzufügen, um Flags zu verknüpfen, die für Linux-on-ARM hinzugefügt wurden (#99313)
• Mittwoch, 4. Februar 2004 Joe Orton [email protected] 0.9.7a-27
• ca-bundle.crt aktualisiert: abgelaufene GeoTrust-Roots entfernt, hinzugefügt
  freessl.com-Root, entferntes Trustcenter.de-Root der Klasse 0
• Sonntag, 30. November 2003 Tim Waugh [email protected] 0.9.7a-26
• Linkzeile für libssl korrigiert (Bug #111154).
• Freitag, 24. Oktober 2003 Nalin Dahyabhai [email protected] 0.9.7a-25
• Abhängigkeit von zlib-devel für das Paket -devel hinzufügen, das von zlib abhängt
  Symbole, weil wir zlib für libssl aktivieren (#102962)
• Freitag, 24. Okt. 2003 Phil Knirsch [email protected] 0.9.7a-24
• Verwenden Sie /dev/urandom anstelle von PRNG für libica.
• Wenden Sie den libica-1.3.5-Fix für /dev/urandom in icalinux.c an
• Verwenden Sie den neuesten ICA-Engine-Patch von IBM.
• Samstag, 4. Oktober 2003 Nalin Dahyabhai [email protected] 0.9.7a-22.1
• wieder aufbauen
• Mittwoch, 1. Okt. 2003 Nalin Dahyabhai [email protected] 0.9.7a-22
• Wiederaufbau (22 wurde nicht wirklich gebaut, Spaß, oder?)
• Dienstag, 30. September 2003 Nalin Dahyabhai [email protected] 0.9.7a-23
• Deaktivieren Sie die Optimierungen auf ppc64 erneut
• Dienstag, 30. September 2003 Joe Orton [email protected]
• a_mbstr.c-Fix für 64-Bit-Plattformen von CVS hinzufügen
• Dienstag, 30. September 2003 Nalin Dahyabhai [email protected] 0.9.7a-22
• fügen Sie -Wa,--noexecstack zu RPM_OPT_FLAGS hinzu, damit zusammengesetzte Module getaggt werden
  da keine ausführbaren Stacks benötigt werden
• Montag, 29. September 2003 Nalin Dahyabhai [email protected] 0.9.7a-21
• wieder aufbauen
• Donnerstag, 25. September 2003 Nalin Dahyabhai [email protected]
• Aktivieren Sie die Optimierungen auf ppc64 erneut
• Donnerstag, 25. September 2003 Nalin Dahyabhai [email protected]
• Exklusivarch entfernen
• Wed Sep 24 2003 Nalin Dahyabhai [email protected] 0.9.7a-20
• only parse a client cert if one was requested
• temporarily exclusivearch for %{ix86}
• Tue Sep 23 2003 Nalin Dahyabhai [email protected]
• add security fixes for protocol parsing bugs (CAN-2003-0543, CAN-2003-0544)
  and heap corruption (CAN-2003-0545)
• update RHNS-CA-CERT files
• ease back on the number of threads used in the threading test
• Wed Sep 17 2003 Matt Wilson [email protected] 0.9.7a-19
• rebuild to fix gzipped file md5sums (#91211)
• Mon Aug 25 2003 Phil Knirsch [email protected] 0.9.7a-18
• Updated libica to version 1.3.4.
• Thu Jul 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-17
• wieder aufbauen
• Tue Jul 15 2003 Nalin Dahyabhai [email protected] 0.9.7a-10.9
• free the kssl_ctx structure when we free an SSL structure (#99066)
• Fri Jul 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-16
• wieder aufbauen
• Thu Jul 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-15
• lower thread test count on s390x
• Tue Jul 08 2003 Nalin Dahyabhai [email protected] 0.9.7a-14
• wieder aufbauen
• Thu Jun 26 2003 Nalin Dahyabhai [email protected] 0.9.7a-13
• disable assembly on arches where it seems to conflict with threading
• Thu Jun 26 2003 Phil Knirsch [email protected] 0.9.7a-12
• Updated libica to latest upstream version 1.3.0
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-9.9
• wieder aufbauen
• Wed Jun 11 2003 Nalin Dahyabhai [email protected] 0.9.7a-11
• wieder aufbauen
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-10
• ubsec: don't stomp on output data which might also be input data
• Tue Jun 10 2003 Nalin Dahyabhai [email protected] 0.9.7a-9
• temporarily disable optimizations on ppc64
• Mon Jun 09 2003 Nalin Dahyabhai [email protected]
• backport fix for engine-used-for-everything from 0.9.7b
• backport fix for prng not being seeded causing problems, also from 0.9.7b
• add a check at build-time to ensure that RSA is thread-safe
• keep perlpath from stomping on the libica configure scripts
• Fri Jun 06 2003 Nalin Dahyabhai [email protected]
• thread-safety fix for RSA blinding
• Wed Jun 04 2003 Elliot Lee [email protected] 0.9.7a-8
• wieder aufgebaut
• Fri May 30 2003 Phil Knirsch [email protected] 0.9.7a-7
• Added libica-1.2 to openssl (featurerequest).
• Wed Apr 16 2003 Nalin Dahyabhai [email protected] 0.9.7a-6
• fix building with incorrect flags on ppc64
• Wed Mar 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-5
• add patch to harden against Klima-Pokorny-Rosa extension of Bleichenbacher's
  attack (CAN-2003-0131)
• Mon Mar 17 2003 Nalin Dahyabhai [email protected] 0.9.7a-4
• add patch to enable RSA blinding by default, closing a timing attack
  (CAN-2003-0147)
• Wed Mar 05 2003 Nalin Dahyabhai [email protected] 0.9.7a-3
• disable use of BN assembly module on x86_64, but continue to allow inline
  assembly (#83403)
• Thu Feb 27 2003 Nalin Dahyabhai [email protected] 0.9.7a-2
• disable EC algorithms
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7a-1
• update to 0.9.7a
• Wed Feb 19 2003 Nalin Dahyabhai [email protected] 0.9.7-8
• add fix to guard against attempts to allocate negative amounts of memory
• add patch for CAN-2003-0078, fixing a timing attack
• Thu Feb 13 2003 Elliot Lee [email protected] 0.9.7-7
• Add openssl-ppc64.patch
• Mon Feb 10 2003 Nalin Dahyabhai [email protected] 0.9.7-6
• EVP_DecryptInit should call EVP_CipherInit() instead of EVP_CipherInit_ex(),
  to get the right behavior when passed uninitialized context structures
  (#83766)
• build with -mcpu=ev5 on alpha family (#83828)
• Wed Jan 22 2003 Tim Powers [email protected]
• wieder aufgebaut
• Fri Jan 17 2003 Phil Knirsch [email protected] 0.9.7-4
• Added IBM hw crypto support patch.
• Wed Jan 15 2003 Nalin Dahyabhai [email protected]
• add missing builddep on sed
• Thu Jan 09 2003 Bill Nottingham [email protected] 0.9.7-3
• debloat
• fix broken manpage symlinks
• Wed Jan 08 2003 Nalin Dahyabhai [email protected] 0.9.7-2
• fix double-free in 'openssl ca'
• Fri Jan 03 2003 Nalin Dahyabhai [email protected] 0.9.7-1
• update to 0.9.7 final
• Tue Dec 17 2002 Nalin Dahyabhai [email protected] 0.9.7-0
• update to 0.9.7 beta6 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Wed Dec 11 2002 Nalin Dahyabhai [email protected]
• update to 0.9.7 beta5 (DO NOT USE UNTIL UPDATED TO FINAL 0.9.7)
• Tue Oct 22 2002 Nalin Dahyabhai [email protected] 0.9.6b-30
• add configuration stanza for x86_64 and use it on x86_64
• build for linux-ppc on ppc
• start running the self-tests again
• Wed Oct 02 2002 Elliot Lee [email protected] 0.9.6b-29hammer.3
• Merge fixes from previous hammer packages, including general x86-64 and
  multilib
• Tue Aug 06 2002 Nalin Dahyabhai [email protected] 0.9.6b-29
• wieder aufbauen
• Thu Aug 01 2002 Nalin Dahyabhai [email protected] 0.9.6b-28
• update asn patch to fix accidental reversal of a logic check
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-27
• update asn patch to reduce chance that compiler optimization will remove
  one of the added tests
• Wed Jul 31 2002 Nalin Dahyabhai [email protected] 0.9.6b-26
• wieder aufbauen
• Mon Jul 29 2002 Nalin Dahyabhai [email protected] 0.9.6b-25
• add patch to fix ASN.1 vulnerabilities
• Thu Jul 25 2002 Nalin Dahyabhai [email protected] 0.9.6b-24
• add backport of Ben Laurie's patches for OpenSSL 0.9.6d
• Wed Jul 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-23
• own {_datadir}/ssl/misc
• Fri Jun 21 2002 Tim Powers [email protected]
• automated rebuild
• Sun May 26 2002 Tim Powers [email protected]
• automated rebuild
• Fri May 17 2002 Nalin Dahyabhai [email protected] 0.9.6b-20
• free ride through the build system (whee!)
• Thu May 16 2002 Nalin Dahyabhai [email protected] 0.9.6b-19
• rebuild in new environment
• Thu Apr 04 2002 Nalin Dahyabhai [email protected] 0.9.6b-17, 0.9.6b-18
• merge RHL-specific bits into stronghold package, rename
• Tue Apr 02 2002 Gary Benson [email protected] stronghold-0.9.6c-2
• add support for Chrysalis Luna token
• Tue Mar 26 2002 Gary Benson [email protected]
• disable AEP random number generation, other AEP fixes
• Fri Mar 15 2002 Nalin Dahyabhai [email protected] 0.9.6b-15
• only build subpackages on primary arches
• Thu Mar 14 2002 Nalin Dahyabhai [email protected] 0.9.6b-13
• on ia32, only disable use of assembler on i386
• enable assembly on ia64
• Mon Jan 07 2002 Florian La Roche Florian. [email protected] 0.9.6b-11
• fix sparcv9 entry
• Mon Jan 07 2002 Gary Benson [email protected] stronghold-0.9.6c-1
• upgrade to 0.9.6c
• bump BuildArch to i686 and enable assembler on all platforms
• synchronise with shrimpy and rawhide
• bump soversion to 3
• Wed Oct 10 2001 Florian La Roche Florian. [email protected]
• delete BN_LLONG for s390x, patch from Oliver Paukstadt
• Mon Sep 17 2001 Nalin Dahyabhai [email protected] 0.9.6b-9
• update AEP driver patch
• Mon Sep 10 2001 Nalin Dahyabhai [email protected]
• adjust RNG disabling patch to match version of patch from Broadcom
• Fri Sep 07 2001 Nalin Dahyabhai [email protected] 0.9.6b-8
• disable the RNG in the ubsec engine driver
• Tue Aug 28 2001 Nalin Dahyabhai [email protected] 0.9.6b-7
• tweaks to the ubsec engine driver
• Fri Aug 24 2001 Nalin Dahyabhai [email protected] 0.9.6b-6
• tweaks to the ubsec engine driver
• Thu Aug 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-5
• update ubsec engine driver from Broadcom
• Fri Aug 10 2001 Nalin Dahyabhai [email protected] 0.9.6b-4
• move man pages back to %{_mandir}/man?/foo.?ssl from
  %{_mandir}/man?ssl/foo.?
• add an [ engine ] section to the default configuration file
• Thu Aug 09 2001 Nalin Dahyabhai [email protected]
• add a patch for selecting a default engine in SSL_library_init()
• Mon Jul 23 2001 Nalin Dahyabhai [email protected] 0.9.6b-3
• add patches for AEP hardware support
• add patch to keep trying when we fail to load a cert from a file and
  there are more in the file
• add missing prototype for ENGINE_ubsec() in engine_int.h
• Wed Jul 18 2001 Nalin Dahyabhai [email protected] 0.9.6b-2
• actually add hw_ubsec to the engine list
• Tue Jul 17 2001 Nalin Dahyabhai [email protected]
• add in the hw_ubsec driver from CVS
• Wed Jul 11 2001 Nalin Dahyabhai [email protected] 0.9.6b-1
• update to 0.9.6b
• Thu Jul 05 2001 Nalin Dahyabhai [email protected]
• move .so symlinks back to %{_libdir}
• Tue Jul 03 2001 Nalin Dahyabhai [email protected]
• move shared libraries to /lib (#38410)
• Mon Jun 25 2001 Nalin Dahyabhai [email protected]
• switch to engine code base
• Mon Jun 18 2001 Nalin Dahyabhai [email protected]
• add a script for creating dummy certificates
• move man pages from %{_mandir}/man?/foo.?ssl to %{_mandir}/man?ssl/foo.?
• Thu Jun 07 2001 Florian La Roche Florian. [email protected]
• add s390x support
• Fri Jun 01 2001 Nalin Dahyabhai [email protected]
• change two memcpy() calls to memmove()
• don't define L_ENDIAN on alpha
• Wed May 23 2001 Joe Orton [email protected] stronghold-0.9.6a-1
• Add 'stronghold-' prefix to package names.
• Obsolete standard openssl packages.
• Wed May 16 2001 Joe Orton [email protected]
• Add BuildArch: i586 as per Nalin's advice.
• Tue May 15 2001 Joe Orton [email protected]
• Enable assembler on ix86 (using new .tar.bz2 which does
  include the asm directories).
• Tue May 15 2001 Nalin Dahyabhai [email protected]
• make subpackages depend on the main package
• Tue May 01 2001 Nalin Dahyabhai [email protected]
• adjust the hobble script to not disturb symlinks in include/ (fix from
  Joe Orton)
• Fri Apr 27 2001 Nalin Dahyabhai [email protected]
• drop the m2crypo patch we weren't using
• Tue Apr 24 2001 Nalin Dahyabhai [email protected]
• configure using "shared" as well
• Sun Apr 08 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6a
• use the build-shared target to build shared libraries
• bump the soversion to 2 because we're no longer compatible with
  our 0.9.5a packages or our 0.9.6 packages
• drop the patch for making rsatest a no-op when rsa null support is used
• put all man pages into
  ssl instead of
• break the m2crypto modules into a separate package
• Tue Mar 13 2001 Nalin Dahyabhai [email protected]
• use BN_LLONG on s390
• Mon Mar 12 2001 Nalin Dahyabhai [email protected]
• fix the s390 changes for 0.9.6 (isn't supposed to be marked as 64-bit)
• Sat Mar 03 2001 Nalin Dahyabhai [email protected]
• move c_rehash to the perl subpackage, because it's a perl script now
• Fri Mar 02 2001 Nalin Dahyabhai [email protected]
• update to 0.9.6
• enable MD2
• use the libcrypto.so and libssl.so targets to build shared libs with
• bump the soversion to 1 because we're no longer compatible with any of
  the various 0.9.5a packages circulating around, which provide lib*.so.0
• Wed Feb 28 2001 Florian La Roche Florian. [email protected]
• change hobble-openssl for disabling MD2 again
• Tue Feb 27 2001 Nalin Dahyabhai [email protected]
• re-disable MD2 -- the EVP_MD_CTX structure would grow from 100 to 152
  bytes or so, causing EVP_DigestInit() to zero out stack variables in
  apps built against a version of the library without it
• Mon Feb 26 2001 Nalin Dahyabhai [email protected]
• disable some inline assembly, which on x86 is Pentium-specific
• re-enable MD2 (see http://www.ietf.org/ietf/IPR/RSA-MD-all)
• Thu Feb 08 2001 Florian La Roche Florian. [email protected]
• fix s390 patch
• Fri Dec 08 2000 Than Ngo [email protected]
• added support s390
• Mon Nov 20 2000 Nalin Dahyabhai [email protected]
• remove -Wa,* and -m* compiler flags from the default Configure file (#20656)
• add the CA.pl man page to the perl subpackage
• Thu Nov 02 2000 Nalin Dahyabhai [email protected]
• always build with -mcpu=ev5 on alpha
• Tue Oct 31 2000 Nalin Dahyabhai [email protected]
• add a symlink from cert.pem to ca-bundle.crt
• Wed Oct 25 2000 Nalin Dahyabhai [email protected]
• add a ca-bundle file for packages like Samba to reference for CA certificates
• Tue Oct 24 2000 Nalin Dahyabhai [email protected]
• remove libcrypto's crypt(), which doesn't handle md5crypt (#19295)
• Mon Oct 02 2000 Nalin Dahyabhai [email protected]
• add unzip as a buildprereq (#17662)
• update m2crypto to 0.05-snap4
• Tue Sep 26 2000 Bill Nottingham [email protected]
• fix some issues in building when it's not installed
• Wed Sep 06 2000 Nalin Dahyabhai [email protected]
• make sure the headers we include are the ones we built with (aaaaarrgh!)
• Fri Sep 01 2000 Nalin Dahyabhai [email protected]
• add Richard Henderson's patch for BN on ia64
• clean up the changelog
• Tue Aug 29 2000 Nalin Dahyabhai [email protected]
• fix the building of python modules without openssl-devel already installed
• Wed Aug 23 2000 Nalin Dahyabhai [email protected]
• byte-compile python extensions without the build-root
• adjust the makefile to not remove temporary files (like .key files when
  building .csr files) by marking them as .PRECIOUS
• Sat Aug 19 2000 Nalin Dahyabhai [email protected]
• break out python extensions into a subpackage
• Mon Jul 17 2000 Nalin Dahyabhai [email protected]
• tweak the makefile some more
• Tue Jul 11 2000 Nalin Dahyabhai [email protected]
• disable MD2 support
• Thu Jul 06 2000 Nalin Dahyabhai [email protected]
• disable MDC2 support
• Sun Jul 02 2000 Nalin Dahyabhai [email protected]
• tweak the disabling of RC5, IDEA support
• tweak the makefile
• Thu Jun 29 2000 Nalin Dahyabhai [email protected]
• strip binaries and libraries
• rework certificate makefile to have the right parts for Apache
• Wed Jun 28 2000 Nalin Dahyabhai [email protected]
• use %{_perl} instead of /usr/bin/perl
• disable alpha until it passes its own test suite
• Fri Jun 09 2000 Nalin Dahyabhai [email protected]
• move the passwd.1 man page out of the passwd package's way
• Fri Jun 02 2000 Nalin Dahyabhai [email protected]
• update to 0.9.5a, modified for US
• add perl as a build-time requirement
• move certificate makefile to another package
• disable RC5, IDEA, RSA support
• remove optimizations for now
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• Bero told me to move the Makefile into this package
• Wed Mar 01 2000 Florian La Roche Florian. [email protected]
• add lib*.so symlinks to link dynamically against shared libs
• Tue Feb 29 2000 Florian La Roche Florian. [email protected]
• update to 0.9.5
• run ldconfig directly in post/postun
• add FAQ
• Sat Dec 18 1999 Bernhard Rosenkrdnzer [email protected]
• Fix build on non-x86 platforms
• Fri Nov 12 1999 Bernhard Rosenkrdnzer [email protected]
• move /usr/share/ssl/* from -devel to main package
• Tue Oct 26 1999 Bernhard Rosenkrdnzer [email protected]
• inital packaging
• changes from base:
  
  
  
  • Move /usr/local/ssl to /usr/share/ssl for FHS compliance
  
  
  • handle RPM_OPT_FLAGS
  
  

Es sieht so aus, als hätte @Lekinho ihr Github-Konto gelöscht? Für die nächste Person, die Probleme hat – es ist möglich, dass ihr Upgrade von OpenSsl oder Python einige kompilierte C-Bindungen beschädigt hat. Immer wenn ich ein solches Upgrade habe, lösche ich meine virtuelle Umgebung oder alle Pakete und baue dann ein neues.

@jvanasco ich bin immer noch hier.
Ich habe mich gefragt, ob Sie eine öffentliche URL haben, mit der ich das testen könnte. Ich möchte sehen, ob die Problemumgehung das Problem für bestätigte Fälle tatsächlich löst (das bedeutet, dass ich bei dem Versuch nichts vermasselt habe).

@Lukas

Teilmenge der Änderungen zwischen Arbeitsversion und aktualisierter Version :+1:
Mo 2. Mai 2016 Tomáš Mráz [email protected] 1.0.1e-48.1
CVE-2016-2105 behoben – möglicher Überlauf in base64-Kodierung
CVE-2016-2106 behoben - möglicher Überlauf in EVP_EncryptUpdate()
CVE-2016-2107 behoben – Polsterorakel in genähtem AES-NI CBC-MAC
CVE-2016-2108 behoben – Speicherbeschädigung im ASN.1-Encoder
CVE-2016-2109 behoben – möglicher DoS beim Lesen von ASN.1-Daten aus BIO
CVE-2016-0799 behoben – Speicherprobleme in BIO_printf

Mittwoch, 24. Februar 2016 Tomáš Mráz [email protected] 1.0.1e-48

CVE-2016-0702 behoben – Seitenkanalangriff auf modulare Potenzierung
Behebung von CVE-2016-0705 – Double-Free beim Parsen privater DSA-Schlüssel
CVE-2016-0797 behoben – Heap-Korruption in BN_hex2bn und BN_dec2bn

Dienstag, 16. Februar 2016 Tomáš Mráz [email protected] 1.0.1e-47

CVE-2015-3197 behoben – Erzwingung der SSLv2-Verschlüsselungssammlung
Deaktivieren Sie SSLv2 in der generischen TLS-Methode

Freitag, 15. Januar 2016 Tomáš Mráz [email protected] 1.0.1e-46

1-Byte-Speicherleck im pkcs12-Parse behoben (#1229871)
einige Optionen des Geschwindigkeitsbefehls dokumentieren (#1197095)

Donnerstag, 14. Januar 2016 Tomáš Mráz [email protected] 1.0.1e-45

Korrigieren Sie hochpräzise Zeitstempel in der Zeitstempelbehörde

Mo. 21. Dez. 2015 Tomáš Mráz [email protected] 1.0.1e-44

CVE-2015-7575 behoben – Verwendung von MD5 in TLS1.2 nicht zulassen

Freitag, 4. Dez. 2015 Tomáš Mráz [email protected] 1.0.1e-43

CVE-2015-3194 behoben – Absturz der Zertifikatsprüfung mit fehlendem PSS-Parameter
CVE-2015-3195 – X509_ATTRIBUTE Speicherleck behoben
Behebung von CVE-2015-3196 – Race-Condition bei der Handhabung von PSK-Identitätshinweisen

Dienstag, 23. Juni 2015 Tomáš Mráz [email protected] 1.0.1e-42

Aktualisieren :
Also habe ich einen Workaround dafür gefunden.
Im Grunde hat sich ein Kollege über das Problem informiert und einige Beiträge über RHEL openssl-Unterstützung für die ECC/ECDH-Verschlüsselung gesehen, die aus irgendeinem Grund nicht 100 % waren.

Wir haben die Anfrage an die URL ausprobiert, indem wir ECDH-Chiffren explizit deaktiviert haben (Hinzufügen der Negation aus dem openssl-Skript selbst, dh openssl s_client -connect 10.85.103.218:8443 -cipher 'DEFAULT:!ECDH').

Wir konnten uns erfolgreich verbinden.

Hier ist die Standard-Verschlüsselungsliste für Openssl unter Ubuntu 14.04
ECDH+ AESGCM:DH+AESGCM :ECDH+AES256:DH+AES256:ECDH+AES128:DH+ AES:ECDH+HIGH :DH+ HIGH:ECDH+3DES :DH+3 DES:RSA+AESGCM :RSA+ AES:RSA+HIGH :RSA +3DES:!aNULL:!eNULL:!MD5

Mit diesem Wissen habe ich also pyopenssl verwendet, um meine Standard-SSL-Chiffren auszudrucken, und jede ECDH-Chiffre explizit aus der Zeichenfolge entfernt. Haben Sie dies direkt im Block zum Importieren von urllib3 aus dem Anforderungspaket getan (dh bevor Sie mit den eigentlichen Anforderungen beginnen), ist hier etwas Ähnliches:
https://github.com/kennethreitz/requests/issues/1308

Mir ist klar, dass diese Aktion Sicherheitsrisiken beinhalten kann, aber das bringt uns zumindest in Schwung und bringt mehr Licht ins Dunkel.

Warum diese speziellen Chiffren ein Problem für RHEL zu sein scheinen, habe ich keine Ahnung.

Ich werde versuchen, wenn ich mehr Zeit habe, um zu sehen, welche speziellen RHEL-Änderungen dies eingeführt haben könnten, und mehr über den Zweck lesen.

Weiß jemand mehr über Chiffren im Allgemeinen?

Habe das gleiche Problem... ARG...

@lukas-gitl Frustration wird dir nicht helfen, das Problem zu lösen. Wenn Sie uns Informationen über Ihre Umgebung zur Verfügung stellen (vorzugsweise einige – wenn nicht alle – der Informationen, die wir Lekinho oben angefragt haben), wird dies hilfreich sein.

@sigmavirus24 Entschuldigung. Ich wollte mehr Informationen liefern und wurde dann abgelenkt (da ich keine Zeit dafür hatte). Ich verwende Ubuntu 14.04, Python 2.7.6 und die neueste Anforderungsversion auf Pip. Dies passiert, wenn ich versuche, als API-Gateway-Endpunkt darauf zuzugreifen (sie könnten ziemlich restriktiv sein).

Ich habe versucht, die virtuelle Umgebung zu entfernen und neu zu generieren, aber das hat es leider nicht gelöst.

Lassen Sie mich wissen, was Sie sonst noch brauchen. Ich bin vorerst auf nodejs umgestiegen, würde aber gerne bei einer Lösung helfen.

@lukas-gitl Es ist sehr wahrscheinlich, dass der Server, den Sie kontaktieren, Verschlüsselungen benötigt, die Sie nicht anbieten, oder TLS-Versionen, die Sie nicht anbieten. Dies kann mit dem von Ihnen installierten OpenSSL zusammenhängen. Sie sollten auch versuchen, pip install requests[security] : Sie könnten auf Probleme mit SNI stoßen.

Ja, das habe ich auch schon probiert. Lassen Sie mich hier ein kurzes Testskript zusammenstellen, damit wir auf derselben Seite sind.

virtualenv -p /usr/bin/python2.7 env
Quelle env/bin/activate
Pip-Installationsanfragen
Pip-Installationsanfragen[Sicherheit]
echo 'Anforderungen importieren' >> test.py
echo 'requests.get("https://API_ID.execute-api.us-west-2.amazonaws.com/ENV/ENPOINT")' >> test.py
pythontest.py

Und welchen konkreten Fehler sehen Sie?

.../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:318: SNIMissingWarning: An HTTPS request has been made, but the SNI (Subject Name Indication) extension to TLS is not available on this platform. This may cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#snimissingwarning. SNIMissingWarning .../env/local/lib/python2.7/site-packages/requests/packages/urllib3/util/ssl_.py:122: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning. InsecurePlatformWarning Traceback (most recent call last): File "test.py", line 2, in <module> requests.get("https://sbsz8eqowe.execute-api.us-west-2.amazonaws.com/dev/segment_to_s3_webhook") File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File ".../env/local/lib/python2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File ".../env/local/lib/python2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: [Errno 1] _ssl.c:510: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure```

Also muss ich grundsätzlich auf eine neuere Version von Python aktualisieren?

Ok, diese beiden Warnungen deuten darauf hin, dass Ihre Anfragen nicht wirklich die Erweiterungen von "requests[security]" verwenden. Es deutet stark darauf hin, dass das von Ihnen ausgeführte Python _nicht_ dasjenige ist, das Sie in Ihrer virtuellen Umgebung installiert haben: Die Erweiterung "requests[security]" sollte diese Warnungen entfernen.

@lukas-gitl siehe meine Notizen oben.
Hast du Zugriff auf den Server? Vergleichen Sie die Liste der Standardchiffren für den Server und den Client.
Es ist sehr wahrscheinlich, dass einer von ihnen den ersten Satz von Chiffren im anderen nicht unterstützt, daher der Fehler.

Sie können Standardchiffren mit einem einfachen Skript überprüfen, wie ich es hier verwendet habe:

!/usr/bin/python

System importieren
Betriebssystem importieren
SSL importieren
print(ssl.OPENSSL_VERSION)
sys.path.insert(1, os.path.abspath(os.path.join(os.getcwd(), 'lib')))
sys.path.append('/usr/local/lib/python2.7/dist-packages')
Anfragen importieren
aus request.packages.urllib3.contrib import pyopenssl
pyopenssl.inject_into_urllib3()
pyopenssl.DEFAULT_SSL_CIPHER_LIST drucken

Ok, jetzt bin ich echt verwirrt. Die Fehlermeldung kommt aus der virtuellen Umgebung. Wie könnten diese also von dort kommen, während ich sie aus einer anderen Python-Umgebung ausführe?

Also habe ich pip install pyopenssl ndg-httpsclient pyasn1 statt pip install requests[security] probiert und das hat funktioniert...

Aha, ich vermute, Ihr Pip ist zu alt, um mit den Extras umzugehen.

Ach, verdammt. Das erklärt einiges. Vielen Dank für Ihre Hilfe!

Ich bin hier auf das gleiche Problem gestoßen, ich sollte eine GET-Anfrage mit folgendem Code senden:
requests.get('https://mdskip.taobao.com/core/initItemDetail.htm?itemId=530444505608&showShopProm=false&queryMemberRight=true&isRegionLevel=false&tmallBuySupport=true&addressLevel=2&sellerPreview=false&isForbidBuyItem=false&cachedTimestamp=1466835924196&offlineShop=false&household=false&tryBeforeBuy=false&isSecKill=false&service3C=false&isApparel=true&isUseInventoryCenter=false&cartEnable=true&isAreaSell=false&callback=setMdskip&timestamp=1466841669969&isg=Al9faN3XWRpIf6UEoQ88UH/1b7np0rNm&ref=https%3A%2F%2Fs.taobao.com%2Fsearch%3Fq%3D%25E6%258B%2589%25E5%25A4%258F%25E8%25B4%259D%25E5%25B0%2594%26imgfile%3D%26commend%3Dall%26ssid%3Ds5-e%26search_type%3Ditem%26sourceId%3Dtb.index%26spm%3Da21bo.50862.201856-taobao-item.1%26ie%3Dutf8%26initiative_id%3Dtbindexz_20160625')

Leider bekam ich die Fehlerinfo:
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

Ich habe versucht, openssl zu installieren, openssl zu aktualisieren, pip install --upgrade pip, pip install requirements, pip install request[security] zu brauen, aber sie haben nicht funktioniert.

Wenn ich jedoch openssl version , bekomme ich OpenSSL 0.9.8zh 14 Jan 2016 , ich weiß nicht, ob das in Ordnung ist.

Gibt es jemanden, der mir dabei helfen könnte?

@jschwinger23 Kannst du bitte auch pip install pyopenssl ndg-httpsclient pyasn1 laufen lassen?

@Lukasa Danke für deine Antwort. Ich habe erneut bestätigt, dass ich sie installiert habe:

$ pip install pyopenssl ndg-httpsclient pyasn1 Requirement already satisfied (use --upgrade to upgrade): pyopenssl in /System/Library/Frameworks/Python.framework/Versions/2.7/Extras/lib/python Requirement already satisfied (use --upgrade to upgrade): ndg-httpsclient in /Library/Python/2.7/site-packages Requirement already satisfied (use --upgrade to upgrade): pyasn1 in /Library/Python/2.7/site-packages

aber Code immer noch unten.

Wie auch immer, ich habe herausgefunden, dass in Python3 alles gut läuft, und ich bin froh, in Python3 programmieren zu können.
Vielen Dank.

Obige Anweisungen befolgt, aber dieses Problem tritt immer noch auf

``` Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/Library/Python/2.7/site-packages/requests/api.py", line 71, in get return request('get', url, params=params, **kwargs) File "/Library/Python/2.7/site-packages/requests/api.py", line 57, in request return session.request(method=method, url=url, **kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 475, in request resp = self.send(prep, **send_kwargs) File "/Library/Python/2.7/site-packages/requests/sessions.py", line 585, in send r = adapter.send(request, **kwargs) File "/Library/Python/2.7/site-packages/requests/adapters.py", line 477, in send raise SSLError(e, request=request) requests.exceptions.SSLError: ("bad handshake: Error([('SSL routines', 'SSL23_GET_SERVER_HELLO', 'sslv3 alert handshake failure')],)",)

irgendwelche Ideen?
``````

@rohanpai Es ist wahrscheinlich, dass Sie entweder keine Verschlüsselungsüberschneidung haben oder dass der Remote-Server mit den von Ihnen angebotenen Versionen unzufrieden ist oder dass von Ihnen erwartet wird, dass Sie ein Client-Zertifikat bereitstellen, dies jedoch nicht der Fall ist. Konkretere Ratschläge zu geben ist schwer. Versuchen Sie dies , um das Problem zu untersuchen.

Unter Ubuntu 14.04LTS musste ich Folgendes tun:

sudo pip install ndg-httpsclient pyasn1 --upgrade

Beachten Sie, dass es in Ubuntu nicht möglich ist, pyopenssl zu aktualisieren/entfernen, da es dem Betriebssystem gehört.

Die Lösung von markstrefford hat bei mir auch unter Mac OS Sierra funktioniert

Die Lösung von @markstrefford hat auch für mich funktioniert.

Nur ein Hinweis für alle, die OpenSSL 1.1 verwenden:
Sie werden auch auf dieses Problem stoßen, selbst wenn Sie TLS-Adapter erzwingen, wenn der Remote-Server Elliptic Curves als erste Option anbietet.
Die Ursache ist: http://bugs.python.org/issue29697

Hallo Leute! Ich habe das gleiche Problem mit dem folgenden Server https://34.200.105.231/SID/Service.svc?wsdl . Ich habe alles versucht und ich springe von und zu den gleichen 2 Fehlern:

• requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)
• requests.exceptions.SSLError: EOF occurred in violation of protocol (_ssl.c:661)

Irgendwelche Ideen? @Lukasa , ich sehe ein paar Probleme mit dem Zertifikat, aber es scheint, als sollte es nicht so schlimm sein: https://sslanalyzer.comodoca.com/?url=34.200.105.231

Das Zertifikat verursacht dieses Problem normalerweise nicht: Dieses Problem wird dadurch verursacht, dass der Server bei uns auflegt, also ist es normalerweise das Ergebnis einer Nichtübereinstimmung der Cipher Suite. In diesem Fall ist genau das der Fall, wie Sie hier sehen können .

Dies ist ein Server, der ehrlich gesagt niemals dem offenen Internet ausgesetzt werden sollte. Es gibt keine sicheren Methoden zur Kommunikation mit diesem Server: keine, null. Aus diesem Grund schlägt der Handshake fehl: Anfragen akzeptiert nur moderne Verschlüsselungssammlungen, und für diesen Server sind keine modernen Verschlüsselungssammlungen verfügbar. Die beste Option ist TLS_RSA_WITH_3DES_EDE_CBC_SHA , eine Option, die wir entfernt haben, da sie anfällig für praktische Angriffe auf groß angelegte Datenübertragungen ist.

Wenn dieser Server Ihnen gehört, aktualisieren Sie ihn bitte auf eine bessere TLS-Implementierung oder ändern Sie die Einstellungen. Ansonsten ist mein erster Ratschlag, es zu überdenken, jemals mit diesem Server zu sprechen. Wenn Sie müssen, können Sie den Code hier verwenden, aber ich empfehle dringend , dass Sie Druck auf den Serverbetreiber ausüben, um dieses Durcheinander zu beheben.

@Lukasa – danke, dass du das mit allen durchgearbeitet hast! Ich habe mir das meiste durchgelesen und ausprobiert

Problem

Beim Ausführen von Skripten unter Windows funktioniert alles.
Beim Ausführen des Skripts unter OSX erhalten Sie:

raise SSLError(e, request=request)
requests.exceptions.SSLError: ("bad handshake: SysCallError(-1, 'Unexpected EOF')",)

Ich bin nicht überzeugt, dass es nicht der Server selbst ist, würde mich aber über jede zusätzliche Hilfe freuen, um dies zu bestätigen und/oder mich aus diesem Kaninchenbau herauszuholen. Es wäre ein großer Gewinn, es zum Laufen zu bringen.

OSX-Besonderheiten:

• Python Python 2.7.10
• OpenSSL OpenSSL 1.1.1-dev xx XXX xxxx (über GitHub kompiliert)
• mit PIP zu installieren

Versuche gemacht

• deinstalliertes pyopenssl, Anfragen, Anfragen[Sicherheit], Kryptografie
• gegen env ARCHFLAGS="-arch x86_64" LDFLAGS="-L/usr/local/opt/openssl/lib" CFLAGS="-I/usr/local/opt/openssl/include" pip install --force-reinstall --no-cache-dir {PACKAGE} installiert

Ich bin mir nicht 100% sicher, dass die Installation gegen Openssl tatsächlich etwas bewirkt hat, da es sich anscheinend genauso verhält wie die Installation ohne (z. B. Geschwindigkeit und Messaging sind alle gleich).

Wie in einem anderen Thread (oben) angegeben, eine direkte Verbindung über openSSL appears , um glücklich zu sein?

openssl s_client -connect XXX.102.7.147:443
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 198 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1493384325
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no
---

Uh ... OpenSSL ist technisch in Ordnung, aber dieses OpenSSL hat keine Verschlüsselung ausgehandelt (das heißt, es scheint SSL_NULL_WITH_NULL_NULL ausgehandelt zu haben. Können Sie ssllabs auf Ihrem Server ausführen und überprüfen, welche Verschlüsselungssammlungen es unterstützt?

@Lukasa Es ist nicht im Internet verfügbar. Gibt es eine Befehlszeilensonde, die ich abfeuern könnte und die Ihnen angemessene Einblicke geben könnte?

Du könntest es mit Cipherscan versuchen.

@Lukasa hat es installiert ... es wirkt wackelig (keine Ausgabe, beobachtet es) ... werde zurückschreiben, wenn mir etwas einfällt, das weitergegeben werden könnte. Danke für die Anleitung!

@Lukasa vielen Dank für Ihre Hilfe - Cipherscan funktionierte nie wirklich - aber unsere Probleme wurden behoben. Es hatte nichts damit zu tun und war eine dumme IP-Nichtübereinstimmung in unseren Umgebungen ... Lektionen gelernt! Danke ...

Überhaupt kein Problem, ich bin froh, dass Sie es sortiert haben!

streamlink -l debug h ttpstream://https :// www.arconaitv.us/stream.php?id=43 am schlimmsten
[cli][info] streamlink läuft als root! Vorsichtig sein!
[cli][debug] OS: Linux-4.14.0-041400-generic-x86_64-with-Ubuntu-14.04-trusty
[cli][debuggen] Python: 2.7.6
[cli][debug] Streamlink: 0.13.0+27.g2ff314c
[cli][debug] Requests(2.19.1), Socks(1.6.7), Websocket(0.48.0)
[cli][info] Passendes Plugin http für URL h ttpstream://https :// www.arconaitv.us/stream.php?id=43 gefunden
[plugin.http][debug] URL= https://www.arconaitv.us/stream.php?id=43; Parameter={}
[cli][info] Verfügbare Streams: live (am schlechtesten, am besten)
[cli][info] Eröffnungsstream: live (http)
[cli][debug] 8192 Bytes vorpuffern
[cli][info] Startspieler: /usr/bin/vlc
[cli][debug] Schreibt Stream zur Ausgabe
[cli][info] Stream beendet
[cli][info] Aktuell geöffneter Stream wird geschlossen..

versucht, aber kein Glück

atlast funktioniert tvplayer auf lokalem pc. Ich habe tinyproxy auf meinem lokalen PC installiert, aber in vps funktioniert httpproxy xxxx nicht.
Ist tinyproxy ok oder ich brauche einen anderen Proxy-Server, um ihn auf meinem lokalen PC zu installieren.

tinyproxy.txt

Hallo @maanich , dies scheint nicht direkt mit diesem Problem zusammenzuhängen oder ein Fehlerbericht für Anfragen zu sein, wofür dieser Issue-Tracker reserviert ist. Wenn Sie Fragen zur Systemkonfiguration haben, werden diese am besten auf einer Plattform wie StackOverflow beantwortet . Danke!

streamlink --https-proxy " http://8xxxx :8000/" --tvplayer-email [email protected] --tvplayer-password vcvdf3 --http-no-ssl-verify https://tvplayer.com/watch /itv am besten --player-no-close --stdout | /var/tmp/youtube/ffmpeg -y -i pipe:0 -vcodec copy -acodec copy -flags -global_header -hls_flags delete_segments -hls_time 10 -hls_list_size 6 /mnt/hls/arc.m3u8
ffmpeg Version 4.0-statisch https://johnvansickle.com/ffmpeg/ Copyright (c) 2000-2018 die FFmpeg-Entwickler
gebaut mit gcc 6.3.0 (Debian 6.3.0-18+deb9u1) 20170516
Konfiguration: --enable-gpl --enable-version3 --enable-static --disable-debug --disable-ffplay --disable-indev=sndio --disable-outdev=sndio --cc=gcc-6 -- enable-libxml2 --enable-fontconfig --enable-frei0r --enable-gnutls --enable-gray --enable-libaom --enable-libfribidi --enable-libass --enable-libfreetype --enable-libmp3lame -- enable-libopencore-amrnb --enable-libopencore-amrwb --enable-libopenjpeg --enable-librubberband --enable-libsoxr --enable-libspeex --enable-libvorbis --enable-libopus --enable-libtheora --enable -libvidstab --enable-libvo-amrwbenc --enable-libvpx --enable-libwebp --enable-libx264 --enable-libx265 --enable-libxml2 --enable-libxvid --enable-libzimg
libavutil 56.14.100 / 56.14.100
libavcodec 58.18.100 / 58.18.100
libavformat 58.12.100 / 58.12.100
libavdevice 58. 3.100 / 58. 3.100
libavfilter 7.16.100 / 7.16.100
libswscale 5.1.100 / 5.1.100
libswresample 3. 1.100 / 3. 1.100
libpostproc 55. 1.100 / 55. 1.100
[console][info] streamlink läuft als root! Vorsichtig sein!
[console][info] Passendes Plugin tvplayer für URL https://tvplayer.com/watch/itv gefunden
Fehler: Kann nicht öffnen URL: https://live.tvplayer.com/stream.m3u8?id=204&Policy=eyJTdGF0ZW1lbnQiOlt7IlJlc291cmNlIjoiaHR0cCo6XC9cL2xpdmUudHZwbGF5ZXIuY29tXC9zdHJlYW0ubTN1OD9pZD0yMDQiLCJDb25kaXRpb24iOnsiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE1MjkwNTc0OTR9LCJJcEFkZHJlc3MiOnsiQVdTOlNvdXJjZUlwIjoiNjIuMjEwLjE0Mi42NlwvMzIifX19XX0_&Signature=mHOteYcUu4QsbGD n0e ~ 7meDUGT8VN7bVOBAHa-0Mk6ROA9XHYx3aIAZMAo3dFjOGuWk-3MszJzRFHdv ~ -CCsmX3D8XQa2zvzfuIWfMAT ~ yDshroXBN25iW6ZJ0-7lGla00jMTUpm5sW-uDy18OkiBWgGvDVas2Lz-EW ~ 5-LTw2YWvEpqkvRB9OpcsHJj9RRQLuDVjwYKXwKvHTJmB1J ~sGE3aigaL7AZyBaIAUMcpk-xYMpDuPV9BsBN9AT397lFfRPFt155u~yeBHZ4JlUN2GIINUBt0-CzGuYVq3dsO kYYEZJo9cQTVhArpo7ek03VbDP5egtCM8obN63AEkA__&Key-Pair-Id=APKAJGWDVCU5SXAPJELQ Fehler: Forbidden (40)
pipe:0 : Beim Verarbeiten der Eingabe wurden ungültige Daten gefunden

Rat bitte n, welcher Proxy-Server für Streamlink geeignet ist, falls vorhanden