<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texte de bulles Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
color:black;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.TextedebullesCar
{mso-style-name:"Texte de bulles Car";
mso-style-priority:99;
mso-style-link:"Texte de bulles";
font-family:"Tahoma","sans-serif";
color:black;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=FR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Yuri,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>So what’s next ?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Do you mean we must “do-not-ssl-bump” wrong certificats ?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>And if a certificate not yet identified is requested by an user it’ll crash the Squid ?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Any idea how to fix that issue ?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks in advance.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Bye Fred<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>De :</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Yuri Voinov [mailto:yvoinov@gmail.com] <br><b>Envoyé :</b> jeudi 9 avril 2015 15:04<br><b>À :</b> Vdoctor; squid-users@lists.squid-cache.org<br><b>Objet :</b> Re: ***SPAM*** Re: [squid-users] Random SSL bump DB corruption<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><br>-----BEGIN PGP SIGNED MESSAGE----- <br>Hash: SHA256 <br> <br>- From my experience, it may occur as a result of forming the fake certificate zero length (in the case of the SQUID can not complete its formation for any reason).<br><br>In turn, the formation of such a certificate occurs in particular due to any error in the code of the SQUID characteristics or if server certificate. In particular, one of these servers is iTunes.<br><br>09.04.15 19:00, Vdoctor пишет:<br>> Yury,<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > I checked the source code (3.4/3.5) ssl_crtd, the default<o:p></o:p></p><p class=MsoNormal> size is 2048.<br><br><o:p></o:p></p><p class=MsoNormal> > -b fs_block_size File system block size in bytes.<o:p></o:p></p><p class=MsoNormal> Need for processing<br><br><o:p></o:p></p><p class=MsoNormal> > natural size of certificate on disk.<o:p></o:p></p><p class=MsoNormal> Default value is<br><br><o:p></o:p></p><p class=MsoNormal> > 2048 bytes."<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > /**<br><br><o:p></o:p></p><p class=MsoNormal> > \ingroup ssl_crtd<br><br><o:p></o:p></p><p class=MsoNormal> > * This is the external ssl_crtd process.<br><br><o:p></o:p></p><p class=MsoNormal> > */<br><br><o:p></o:p></p><p class=MsoNormal> > int main(int argc, char *argv[])<br><br><o:p></o:p></p><p class=MsoNormal> > {<br><br><o:p></o:p></p><p class=MsoNormal> > try {<br><br><o:p></o:p></p><p class=MsoNormal> > size_t max_db_size = 0;<br><br><o:p></o:p></p><p class=MsoNormal> > size_t fs_block_size = 2048;<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > But the crazy thing is the index.txt (last line) is wrong,<o:p></o:p></p><p class=MsoNormal> not complete. It seems the tool writes/saves wrong data that's why<o:p></o:p></p><p class=MsoNormal> it becomes corrupted and crash the Squid.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > We have tried with a single ssl_crtd in the squid.conf, then<o:p></o:p></p><p class=MsoNormal> one per worker, the same corruption.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > Bye Fred<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > -----Message d'origine-----<br><br><o:p></o:p></p><p class=MsoNormal> > De : squid-users<o:p></o:p></p><p class=MsoNormal> [<a href="mailto:squid-users-bounces@lists.squid-cache.org">mailto:squid-users-bounces@lists.squid-cache.org</a>] De la part de<o:p></o:p></p><p class=MsoNormal> Yuri Voinov<br><br><o:p></o:p></p><p class=MsoNormal> > Envoyé : jeudi 9 avril 2015 14:52<br><br><o:p></o:p></p><p class=MsoNormal> > À : <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br><br><o:p></o:p></p><p class=MsoNormal> > Objet : ***SPAM*** Re: [squid-users] Random SSL bump DB<o:p></o:p></p><p class=MsoNormal> corruption<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > Don't think this is critical. What is native fs block size?<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > 09.04.15 13:29, Stakres пишет:<br><br><o:p></o:p></p><p class=MsoNormal> > > Hi Yuri,<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > We have checked the sslproxy_capath, all certifs<o:p></o:p></p><p class=MsoNormal> updated.<br><br><o:p></o:p></p><p class=MsoNormal> > > OpenSSL is: OpenSSL 1.0.1e 11 Feb 2013 (Debian 7.8)<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Additional point, the auto-signed certif is a 1024,<o:p></o:p></p><p class=MsoNormal> could it be the<br><br><o:p></o:p></p><p class=MsoNormal> > problem<br><br><o:p></o:p></p><p class=MsoNormal> > > ?<br><br><o:p></o:p></p><p class=MsoNormal> > > Maybe we need to use the ssl_crtd with the option "-b<o:p></o:p></p><p class=MsoNormal> 1024"<br><br><o:p></o:p></p><p class=MsoNormal> > > what do you think ?<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > example of corrupted db:<br><br><o:p></o:p></p><p class=MsoNormal> > > *V 250402155004Z <o:p></o:p></p><p class=MsoNormal> 7307E4A4E7FC6483C2B1D533821A7D2356DF1B88 <br><br><o:p></o:p></p><p class=MsoNormal> > unknown<br><br><o:p></o:p></p><p class=MsoNormal> > ><o:p></o:p></p><p class=MsoNormal> /CN=r2---sn-q4f7sn7z.googlevideo.com+Sign=signTrusted+SignHash=SHA256<br><br><o:p></o:p></p><p class=MsoNormal> > > V 250402155004Z <o:p></o:p></p><p class=MsoNormal> 2D1FC87E26AC4D8AB1E6F3B45E2C69EB36C7F8D3 <br><br><o:p></o:p></p><p class=MsoNormal> > unknown<br><br><o:p></o:p></p><p class=MsoNormal> > > /CN=seal.verisign.com+Sign=signTrusted+SignHash=SHA256<br><br><o:p></o:p></p><p class=MsoNormal> > > 6<br><br><o:p></o:p></p><p class=MsoNormal> > > *<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > the squid crash when the index.txt becomes wrong...<o:p></o:p></p><p class=MsoNormal> weird...<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Bye Fred<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > --<br><br><o:p></o:p></p><p class=MsoNormal> > > View this message in context:<br><br><o:p></o:p></p><p class=MsoNormal> ><o:p></o:p></p><p class=MsoNormal><a href="http://squid-web-proxy-cache.1019090.n4.nabble.com/Random-SSL-bump-DB-corruption-tp4670289p4670656.html">http://squid-web-proxy-cache.1019090.n4.nabble.com/Random-SSL-bump-DB-corruption-tp4670289p4670656.html</a><br><br><o:p></o:p></p><p class=MsoNormal> > > Sent from the Squid - Users mailing list archive at<o:p></o:p></p><p class=MsoNormal> Nabble.com.<br><br><o:p></o:p></p><p class=MsoNormal> > > _______________________________________________<br><br><o:p></o:p></p><p class=MsoNormal> > > squid-users mailing list<br><br><o:p></o:p></p><p class=MsoNormal> > > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br><br><o:p></o:p></p><p class=MsoNormal> > > <a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > _______________________________________________<br><br><o:p></o:p></p><p class=MsoNormal> > squid-users mailing list<br><br><o:p></o:p></p><p class=MsoNormal> > <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br><br><o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'> > <a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a><br><br>-----BEGIN PGP SIGNATURE----- <br>Version: GnuPG v2 <br> <br>iQEcBAEBCAAGBQJVJni5AAoJENNXIZxhPexGTAkIAIx0ar6l6z84snTTem8XXZtD <br>oO/MnUvMb5FB+2IRp74dq7cO5KzlcZUeOvbbmsMsXR2CAraPqiLyTb3m3/eKqLS1 <br>QdDRZZIuvV2GKyNizEzwwCV1W7QRjApbELc36rZC8fXVv5WArisDg3kk/Ycu3OeF <br>p0TBHhMNBvFKd+8Ve8xUqKQn3J6fYAYB8FHBzpssmfGaaGK7PeDmZ3LofeYHlqDP <br>eY7WKCzBQ7wOkezWJopBqkZH72OorLYHxOSanrNlbZ+5n2iO5wbuocm03F/QMJBc <br>uTN71irqNwHiqGd95ThQjSlhOXHvUSHEKssALUgmfHWEtIUy1PhLQvCksLm2510= <br>=ai9y <br>-----END PGP SIGNATURE----- <o:p></o:p></p></div></body></html>