Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 12320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF with auth enforces logout (AH01842: decrypt session failed)

isenberg_01
In the environment with WAF and enabled authentication for the forwarded URL paths, I'm having problems with users being logged out after a few minutes at times.

An error message in /var/log/reverseproxy.log can be correlated to those events:

2015:09:16-10:55:08 waf01 reverseproxy: [Wed Sep 16 10:55:08.397809 2015] [session_crypto:error] [pid 30877:tid 4113984368] (100006)Error string not specified yet: [client *.*.*.*:61412] AH01842: decrypt session failed, wrong passphrase?, referer: https://hostname.domain.net/webapp_12345/?locale=de&project=12345

Sophos support is already notified about this issue, but their first step would be to be able to reproduce the issues with access to our system. This is difficult, as it only appears at times, about every few hours with 10 users constantly using the webapps during the day.

The very error message is mentioned in the following thread and it appears a similar situation, though I haven't found a solution yet:

Apache HTTP Server - Dev - Fwd: unsetting encrypted cookies when encryption key changes

UTM version: 9.309-3


This thread was automatically locked due to age.
  • 0
    I am also having the same issue with a Outlook Web access through WAF.  The strange thing is that it only occurs on my SG310 appliance and not on a test computer using the software version with the same configuration.  I have reset the SG310 to factory defaults and rebuilt the rules as they are on the test computer but the issue still occurs.
  • 0
    I have the same issue, on a SG210 (HA mode).
    An answer from Sophos ?
  • 0
    The following workaround was suggested by UTM Sophos Support which solved the issue with AH01842. ssh as root and then:

    # cc
    # reverse_proxy
    # mpm_mode$
    = prefork

    # /var/mdw/scripts/reverseproxy stop
    # /var/mdw/scripts/reverseproxy start

    If you want to switch back to the original setting, use =worker instead of =prefork.

    Unfortunately, I updated my UTM to 9.350-12 at the same time, which created the following new critical issue:

    The Cookie-Management towards the backend broke, which now creates a new session for each http request. That should be fixed in version 9.317 according the UTM Sophos support, most likely release Oct 14 2015, though my guess is, that 9.317 is a type as that's already installed. The Cookie-Management is only broken for context path / not for the 5 other contexts paths on the same URL and backen I use. Maybe it is limited either to / or the cookie name JSESSIONID as I use other cookie names for the other paths.
  • 0
    Thanks for sharing, Isenberg!

    Instead of going into cc, the same thing can be done at the command line:

    # cc set reverse_proxy mpm_mode prefork


    or

    # cc set reverse_proxy mpm_mode worker



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    9.317 will be the next update, after current 9.315, already available at ftp://ftp.astaro.de/UTM/v9/up2date/ 

    9.350 was a feature release update, which does not include 9.317 and will receive the 9.317 changes later: https://blogs.sophos.com/2015/09/22/utm-up2date-9-350-released/

    Unfortunately, the up2date installed 9.350 when selected "update to newest" so I now need to manually downgrade to 9.315 first then update to 9.317 manually.

    Holger
Unfiltered HTML