https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2014-05-28T14:10:05ZEnsemble Ouvert Libre ÉvolutifEoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=311852014-05-28T14:10:05ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul></ul><p>Après des tests effectués avec différents scripts et plugins de détection de vulnérabilité à heartbleed, nous avons constaté le problème suivant:</p>
<p>La librairie M2Crypto utilisée pour gérer les connexions SSL dans EoleSSO rend le service instable lorsque certains appels sont effectués dans ces scripts.</p>
<p>La librairie python-openssl utilisée en standard avec le framework TwistedMatrix ne rencontre pas ce problème, mais elle ne répond pas à certains besoins d'EoleSSO (vérification des noms alternatifs dans les certificats).</p>
<p>Diverses solutions envisageables:</p>
<p>- demander une correction au niveau de la librairie M2Crypto, ou traiter le problème nous même le cas échéant<br />- vérifier si les versions plus récentes de python-openssl permettent de ne plus utiliser cette librairie<br />- tester avec une version plus récente du framework TwistedMatrix</p>
<p>Pour contourner temporairement le problème, on peut envisager un blocage des adresses de certains domaines pour l'accès au port 8443. en particulier:</p>
<p>- amazonaws.com (web services amazon)</p>
<p>- 55.86.210.127 nstld.verisign-grs.com. 2014052701 1800 900 604800 86400</p> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=311912014-05-28T14:53:31ZPhilippe Caseiropcaseiro@cadoles.com
<ul></ul><p>Demande ouverte auprès du projet M2Crypto : <a class="external" href="https://github.com/martinpaljak/M2Crypto/issues/39">https://github.com/martinpaljak/M2Crypto/issues/39</a></p> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=311922014-05-28T14:54:29ZPhilippe Caseiropcaseiro@cadoles.com
<ul><li><strong>Projet</strong> changé de <i>Zéphir</i> à <i>EoleSSO</i></li></ul> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=312052014-05-30T10:12:25ZPhilippe Caseiropcaseiro@cadoles.com
<ul></ul><p>J'ai trouvé l'origine du problème dans le code de M2Crypto, j'ai ajouter 2 lignes qui semble corriger le problème.</p>
<p>Dans le fichier M2Crypto/SSL/TwistedProtocolWrapper.py : <br /><pre>
414 if pending:
416 d = m2bio_read(sslBioPtr, pending)
418 if d is not None : # This is strange, but d can be None
419 decryptedData += d
420 if decryptedData == "":
421 break
422 else:
423 assert(m2bio_should_retry(sslBioPtr))
424 else:
426 break
</pre></p>
<p>J'ai envoyé le "patch" au projet M2Crypto, j'attend des informations des dev.<br />J'ai également appliqué la "correction" sur le serveur SSO de "Cadoles" pour l'instant je ne constate aucun dysfonctionnement.</p> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=312552014-06-02T15:36:05ZBruno Boigetbruno.boiget@ac-dijon.fr
<ul><li><strong>Version cible</strong> mis à <i>Mises à jour 2.3.13</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>80</i></li><li><strong>Distribution</strong> changé de <i>Toutes</i> à <i>EOLE 2.3</i></li></ul><p>Les modifications ont été testées sur plusieurs machines :</p>
<p>- serveur PIA de Dijon.<br />- serveur SSO de Cadoles.<br />- seveurs de test lab13-eole.ac-dijon.fr</p>
<p>La correction semble fonctionner. Un patch 'eole' correctif sera publié en attendant d'avoir une réponse concernant la demande 'upstream'.</p>
<p>Après vérification, il devrait être possible de repasser sur la librairie python-openssl sur Eole 2.4 (pas sur Eole 2.3, la version présente ne permet pas de vérifier les noms alternatifs dans les certificats).</p> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=312822014-06-06T13:13:21ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Résolu</i></li><li><strong>% réalisé</strong> changé de <i>80</i> à <i>100</i></li></ul><p>Paquet testé par plusieurs personnes/académies.<br />À diffuser en SECURITY.</p> EoleSSO - Anomalie #8246: Surchage CPU de serveur Twisted suite à test Heartbleedhttps://dev-eole.ac-dijon.fr/issues/8246?journal_id=312902014-06-06T15:13:12ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Temps estimé</strong> mis à <i>0.08 h</i></li></ul><p>=> <a class="external" href="http://dev-eole.ac-dijon.fr/news/216">http://dev-eole.ac-dijon.fr/news/216</a></p>