Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 12326 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF with auth enforces logout (AH01842: decrypt session failed)

isenberg_01
In the environment with WAF and enabled authentication for the forwarded URL paths, I'm having problems with users being logged out after a few minutes at times.

An error message in /var/log/reverseproxy.log can be correlated to those events:

2015:09:16-10:55:08 waf01 reverseproxy: [Wed Sep 16 10:55:08.397809 2015] [session_crypto:error] [pid 30877:tid 4113984368] (100006)Error string not specified yet: [client *.*.*.*:61412] AH01842: decrypt session failed, wrong passphrase?, referer: https://hostname.domain.net/webapp_12345/?locale=de&project=12345

Sophos support is already notified about this issue, but their first step would be to be able to reproduce the issues with access to our system. This is difficult, as it only appears at times, about every few hours with 10 users constantly using the webapps during the day.

The very error message is mentioned in the following thread and it appears a similar situation, though I haven't found a solution yet:

Apache HTTP Server - Dev - Fwd: unsetting encrypted cookies when encryption key changes

UTM version: 9.309-3


This thread was automatically locked due to age.
Parents
  • 0
    The following workaround was suggested by UTM Sophos Support which solved the issue with AH01842. ssh as root and then:

    # cc
    # reverse_proxy
    # mpm_mode$
    = prefork

    # /var/mdw/scripts/reverseproxy stop
    # /var/mdw/scripts/reverseproxy start

    If you want to switch back to the original setting, use =worker instead of =prefork.

    Unfortunately, I updated my UTM to 9.350-12 at the same time, which created the following new critical issue:

    The Cookie-Management towards the backend broke, which now creates a new session for each http request. That should be fixed in version 9.317 according the UTM Sophos support, most likely release Oct 14 2015, though my guess is, that 9.317 is a type as that's already installed. The Cookie-Management is only broken for context path / not for the 5 other contexts paths on the same URL and backen I use. Maybe it is limited either to / or the cookie name JSESSIONID as I use other cookie names for the other paths.
Reply
  • 0
    The following workaround was suggested by UTM Sophos Support which solved the issue with AH01842. ssh as root and then:

    # cc
    # reverse_proxy
    # mpm_mode$
    = prefork

    # /var/mdw/scripts/reverseproxy stop
    # /var/mdw/scripts/reverseproxy start

    If you want to switch back to the original setting, use =worker instead of =prefork.

    Unfortunately, I updated my UTM to 9.350-12 at the same time, which created the following new critical issue:

    The Cookie-Management towards the backend broke, which now creates a new session for each http request. That should be fixed in version 9.317 according the UTM Sophos support, most likely release Oct 14 2015, though my guess is, that 9.317 is a type as that's already installed. The Cookie-Management is only broken for context path / not for the 5 other contexts paths on the same URL and backen I use. Maybe it is limited either to / or the cookie name JSESSIONID as I use other cookie names for the other paths.
Children
No Data
Unfiltered HTML