<div dir="ltr">Hi, <div>   We are trying to mitigate CVE-2017-11185. We use older than 5.6.0 version of strongswan and upgrading will take significant time/effort. </div><div><br></div><div>The vulnerability is while gmp plugin doing signature verification, and I found that the same feature is provided by openssl (and gcrypt) so our plan is to use openssl plugin,</div><div><i><br></i></div><div><i>OPENSSL is enabled </i></div><div><div><i>Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_NULL in plugin 'openssl'</i></div><div><i>Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA1 in plugin 'openssl'</i></div><div><i>Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA224 in plugin 'openssl'</i></div><div><i>Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA256 in plugin 'openssl'</i></div><div><i>Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA384 in plugin 'openssl'</i></div></div><div><i>.... <and so on></i></div><div><i><br></i></div><div><i>GMP</i></div><div><div style="font-style:italic">Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_NULL in plugin 'gmp'</div><div style="font-style:italic">Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA1 in plugin 'gmp'</div><div style="font-style:italic">Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA224 in plugin 'gmp'</div><div style="font-style:italic">Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA256 in plugin 'gmp'</div><div style="font-style:italic">Aug 19 19:14:41 00[LIB] loading feature PUBKEY_VERIFY:RSA_EMSA_PKCS1_SHA384 in plugin 'gmp'</div><div style="font-style:italic">... <and so on></div><div style="font-style:italic"><br></div><div>I have a couple of questions,</div><div>a. how do I determine if its safe to disable (load = no) the gmp plugin ? I compared all features of GMP listed in the log against openssl plugin features, and all of them are available in Openssl plugin. Is that enough or anything else I should consider checking before turning off gmp plugin ? (i have tested disabling gmp in my local and esp packets are created and sent properly)</div></div><div><br></div><div>b. I tried to increase the priority of openssl (load = 2) plugin. But I can't find a way to verify that signature verification is done by openssl plugin and not gmp plugin. Is there a way I can verify that ? (or rather how do I verify which plugin is executing certain feature when the same feature is provided by two loaded plugins)</div><div><br></div><div><br></div><div>Thanks</div><div><br></div></div>