tls: disable kerberos more thoroughly [fix]
authorAndrei Pelinescu-Onciul <andrei@iptel.org>
Tue, 23 Feb 2010 15:10:21 +0000 (16:10 +0100)
committerAndrei Pelinescu-Onciul <andrei@iptel.org>
Tue, 23 Feb 2010 15:10:21 +0000 (16:10 +0100)
commit51ee5da9ebf09447f71d4393f7c5b703305ff46d
tree919375a43b782ddf55b283af0d918b2bfe12bbfc
parentd06c0f78f327134d37b5be68af8c88f595ef1238
tls: disable kerberos more thoroughly [fix]

Older openssl versions (< 0.9.8e release) have a bug in the
kerberos code (it uses the wrong malloc, for more details see
openssl bug # 1467). While there is already a workaround for this
openssl bug in the sr code (see commits 36cb8f & 560a42), in some
situations this workaround causes another bug (crash on connection
opening when openssl is compiled with kerberos support and
kerberos is enabled for key exchange).
The current fix will disable automatically all the ciphers containing
KRB5 if the openssl version is < 0.9.8e beta1 or it is between
0.9.9-dev and 0.9.9-beta1.
It iss equivalent to setting cipher_list to "<prev. value>:!KRB5".

Impact: this fix is needed only if openssl is compiled with
kerberos support and the version is < 0.9.8e. It also affects at
least CentOS users with openssl-0.9.8e-12.el5_4.1 (in the centos
openssl package they play some strange games with the version and
report 0.9.8b via SSLeay).

Tested-by: Klaus Darilion klaus.mailinglists at pernau.at
Reported-by: Klaus Darilion klaus.mailinglists at pernau.at
Reported-by: Andreas Rehbein rehbein at e-technik.org
Reported-by: Martin Koenig koenig starface.de
modules/tls/tls_domain.c