一个引发openssl崩溃问题案例

1 背景

最近用libevent写了一个https代理功能,在调研的时候,遇到了一个项目用到了本地多个openssl库引发的ssl握手崩溃问题。

2 开发环境

|----------|-----------------------|-------------|
| 项目库 | 版本号 | 依赖项 |
| libevent | libevent-2.1.8-stable | openssl 1.1 |
| openssl | 1.0u / 1.1.1w / 3.3.1 | ...... |

3 问题现象

https代理的下游是http客户端( 播放器)连接,上游服务器是https对接,其中https对接上游需要用到openssl库。

这在播放器打开该播放url并回溯到上游点播服务器的时候,崩溃堆栈直接到了openssl库内部。

以下是出问题时的堆栈现场:

4 原因分析

为了简单起见,抽离了业务代码,直接用openssl的api写了一个简单的demo,去连接上游https服务器,发现同样存在崩溃现象,并且崩溃的堆栈都一样。

列出demo的主要代码:

复制代码
int main (int argc, char* argv[]) {
    /* 初始化SSL协议环境 */
    // SSL_library_int();
    /* 创建SSL上下文 */
    SSL_CTX *ctx = SSL_CTX_new (SSLv23_client_method());
    if(ctx == NULL) {
       return false;
    }
    /* 设置SSL选项 */
    SSL_CTX_set_options (ctx,
                        SSL_OP_SINGLE_DH_USE |
                        SSL_OP_SINGLE_ECDH_USE |
                        SSL_OP_NO_SSLv2 /*禁用SSLv2*/ |
                        SSL_OP_NO_TLSv1 /*禁用TLSv1*/);
    // 不校验ssl证书
    SSL_CTX_set_verify(ctx, SSL_VERIFY_NONE, NULL);
    int r = bufferevent_openssl_socket_new (base,
                            -1,
                            SSL_new(ctx),
                            BUFFEREVENT_SSL_ACCEPTING,
                            BEV_OPT_CLOSE_ON_FREE);

    // 设置回调函数
    bufferevent_setcb(evcon->bufev, evhttp_read_cb, evhttp_write_cb, evhttp_ssl_error_cb, evcon);
 
    // 启动SSL连接
    bufferevent_socket_connect_hostname(evcon->bufev, dnsbase, AF_UNSPEC, evcon->address, port);
    bufferevent_enable(evcon->bufev, EV_WRITE);

    struct event_base* event_base = event_base_new();
    event_base_dispatch(event_base);
    
    SSL_CTX_free(ssl_ctx);
    return 0;
}

问题原因,当时有2个方向:

  • openssl的api使用不当所致,经openssl的example对比发现无异常;
  • 本地或有多个openssl版本,libevent-2.1.8-stable的编译和链接用到了不同的openssl库所致;

终端执行ls命令查看,的确有多个openssl版本(其实还有openssl的1.0u版本,后来为解决问题卸载了):

5 解决办法

由于libevent-2.1.8-stable版本匹配的openssl版本为1.1版本系列,因此去掉其他openssl版本,保留openssl1.1版本,再编译libevent-2.1.8-stable。

然后在工程文件里引入编译好的libevent库,及其openssl库:

再次编译运行的时候,发现整个世界清净了,可以正常代理播放了:

相关推荐
小溪彼岸2 天前
macOS自带截图命令ScreenCapture
macos
TESmart碲视2 天前
Mac 真正多显示器支持:TESmart USB-C KVM(搭载 DisplayLink 技术)如何实现
macos·计算机外设·电脑
2501_915106323 天前
Xcode 上传 ipa 全流程详解 App Store 上架流程、uni-app 生成 ipa 文件上传与审核指南
android·macos·ios·小程序·uni-app·iphone·xcode
他们都不看好你,偏偏你最不争气3 天前
【iOS】AFNetworking
开发语言·macos·ios·objective-c
钟念3 天前
【打包app】uniapp打包ios端和安卓端app
macos·objective-c·cocoa
森之鸟4 天前
Mac电脑上如何打印出字体图标
前端·javascript·macos
m_136874 天前
Mac M 系列芯片 YOLOv8 部署教程(CPU/Metal 后端一键安装)
yolo·macos
搜狐技术产品小编20234 天前
CAEmitterLayer:iOS 中创建炫酷粒子效果的魔法工具
macos·ios·objective-c·cocoa
未来之窗软件服务5 天前
操作系统应用开发(七)mac苹果模拟器——东方仙盟练气期
macos·仙盟创梦ide·东方仙盟·系统模拟器
liliangcsdn5 天前
Mac本地docker安装Kibana+ElasticSearch
elasticsearch·macos·docker