В Thunderbird 10 поломали LDAPS | Форум Mozilla Россия

>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Thunderbird
   http://forum.mozilla-russia.org/viewforum.php?id=7
>В Thunderbird 10 поломали LDAPS
   http://forum.mozilla-russia.org/viewtopic.php?id=53611

SuSt > 03-02-2012 17:23:49

Скачал, установил с офсайта (mozilla-russia.org) "оригинальную" русскую сборку Thunderbird 10. Пробовал устанавливать её как на "чистую" машину с Windows 7 (с отключенным FireWall), так и обновлять свой "боевой" Thunderbird 9 на Windows XP. Результат один и тот же: LDAPS больше не работает.

То есть в 9-м Thunderbird-е все работало шикарно и без каких-либо проблем. А вот после обновления до 10-го оно поломалось. Wireshark показывает RST ACK со стороны сервера в процессе Negotiation, но причины этого, понятно, я посмотреть не могу (потому что зашифровано). "Чистый" LDAP (без шифрования) с тем же самым сервером нормально работает и в 9-ке, и в 10-ке.

В качестве LDAP-сервера выступает Kerio Connect 7.1.2. Во время обновления почтового клиента никакие настройки не изменялись.

Постить в багзиллу?

banbot > 03-02-2012 18:11:36

SuSt
Bug 723551 - LDAP connection broken starting with version 10
Насколько я могу судить, разработчикам нужна любая помощь, чтобы воспроизвести и починить этот баг. Эту ошибку правили ещё в Bug 708813 - LDAP connection broken (application deadlocks) starting with version 9, но похоже не до конца додавили.

SuSt > 03-02-2012 18:13:07

ОК. Как я могу помочь разработчикам?

banbot > 03-02-2012 18:17:52

SuSt
Как минимум предоставить логи. В идеале наверное лучше всего предоставить тестовый аккаунт на своём сервере.
Напишите в баг, опишите ситуацию и спросите чем вы можете помочь.

SuSt > 03-02-2012 18:28:38

Написал...

Но я смотрю, там весьма оптимистично так указано: "Assigned To: Nobody".

banbot > 03-02-2012 18:49:41

SuSt
Ещё вы также можете попробовать найти в какой ночной сборке это сломалось. Первая сборка 9.0a1 лежит в http://ftp.mozilla.org/pub/mozilla.org/ … m-central/
Последняя - в http://ftp.mozilla.org/pub/mozilla.org/ … m-central/
Можно найти бинарным поиском точный день, когда это сломалось. В этих каталогах в .txt файлах лежат номера ревизий кода, из которого собраны эти сборки - например для http://ftp.mozilla.org/pub/mozilla.org/ … x86_64.txt - http://hg.mozilla.org/comm-central/rev/f8f8c8c498b1 и для http://ftp.mozilla.org/pub/mozilla.org/ … .win32.txt - http://hg.mozilla.org/comm-central/rev/feb47379243c

Из них можно найти regression range. Для вышеуказанного примера url будет таким: http://hg.mozilla.org/comm-central/push … b47379243c

SuSt > 03-02-2012 23:36:11

В-общем, народ в багзилле довольно оперативно разобрался в чём беда.

В Thunderbird 10 немного переделали работу с Secure-протоколами, чтобы пофиксить уязвимость. В сочетании с вот этим оно поломало совместимость некоторых SSL-протоколов с некоторыми SSL-серверами. Кто-то уже выпустил патчи для серверной части, кто-то нет.

Соответственно, способов решения три.
1. Обновить/пропатчить почтовый сервер (самый правильный вариант).
2. Снести KB2585542 на клиентских машинах.
3. Запускать Thunderbird с переменной окружения "NSS_SSL_CBC_RANDOM_IV=0".

Можете добавлять в wiki/FAQ/Cookbook или что тут у вас заведено.

Самое грустное то, что я этот мерзкий Kerio обновить не могу, т.к. истек срок лицензии. А продлевать лицензию я принципиально не хочу, т.к. этот долбаный Kerio весь из себя насквозь кривой-косой. Придется менять почтовый сервер. Хотел отложить эту процедуру до лучших времен, но придется, видать, заниматься прямо сейчас. Блин.