re: Direct SSL connection and ALPN loose ends

Поиск

Список

Период

Сортировка

От	Ranier Vilela
Тема	re: Direct SSL connection and ALPN loose ends
Дата	29 апреля 20:10:44
Msg-id	CAEudQAr=MYq_xYkRcV+gTFydLrVdiMtBxjJ+Lv8ENUEs1gchdQ@mail.gmail.com обсуждение исходный текст
Ответ на	Direct SSL connection and ALPN loose ends (Heikki Linnakangas <hlinnaka@iki.fi>)
Ответы	Re: Direct SSL connection and ALPN loose ends (Heikki Linnakangas <hlinnaka@iki.fi>)
Список	pgsql-hackers

Дерево обсуждения

Hi,

With TLS 1.3 and others there is possibly a security flaw using ALPN [1].

It seems to me that the ALPN protocol can be bypassed if the client does not correctly inform the ClientHello header.

So, the suggestion is to check the ClientHello header in the server and

terminate the TLS handshake early.

Patch attached.

best regards,

Ranier Vilela

[1] terminate-tlsv1-3-handshake-if-alpn-is-missing

Вложения

terminate-tls-handshake-if-no-alpn.patch

В списке pgsql-hackers по дате отправления:

Предыдущее

От: Chris Cleveland
Дата: 29 апреля, 19:17:15
Сообщение: Possible to get LIMIT in an index access method?

Следующее

От: Mark Hill
Дата: 29 апреля, 20:47:10
Сообщение: CVE's addressed in next update