Haproxy 1.5.dev25-13

[devildant]

Pas chez moi on dirai

[devildant]

bon j'ai trouvé, j'ai désinstaller et réinstaller haproxy ^^ et c'est bon A+ merci de la modif

[devildant]

Bonsoir,
j’apporte une petit correction sur le param tune.ssl.default-dh-param
je vous conseille de le set a 1024, j'ai passer un bon 1/4 d'heure a me prendre la tète sur une appli java que j'ai dev avec un ami et qui ne fonctionnait pas sur mac.
le java 7 présent sur ses fichu appareil de la marque de la pomme ne support pas une valeur supérieur a 1024!!!
alors que sur un bon vieux seven nos souci

donc dans la partie global :

global
        daemon
        maxconn 256
        spread-checks 10
        tune.ssl.default-dh-param 1024

Modifié le 2 octobre 2014 par devildant

[gaetan.cambier]

Tu fais ça, c'est affaiblir la sécurité a un point ...

edit :

maintenant que je suis un peu reveillé, tu utilise quoi comme version exact de java 7 sur osx ? car les version à jour de java gere parfaitement les clé de 2048 bit, en plus, il y a d'autre cryptage utilisable qui fonctionnerai avec java 7

Modifié le 3 octobre 2014 par Gaetan Cambier

[devildant]

niveau sécu je reste en A+, après j'ai fait le test avec le java proposé sur maverick(via une VM) qui est sensé être un java 7u67 sauf que dans la réalité il se comporte comme un java 6.

avax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
    at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:190)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1747)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1708)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.handleException(SSLSocketImpl.java:1691)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1222)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1199)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:476)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
    at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1195)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:234)
    at com.homestation.ThreadJar.getCheckSum(ThreadJar.java:63)
    at com.homestation.ThreadJar.run(ThreadJar.java:275)
    at java.lang.Thread.run(Thread.java:695)
Caused by: java.lang.RuntimeException: Could not generate DH keypair
    at com.sun.net.ssl.internal.ssl.DHCrypt.<init>(DHCrypt.java:114)
    at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverKeyExchange(ClientHandshaker.java:559)
    at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:186)
    at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:593)
    at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:529)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:943)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1188)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1215)
    ... 8 more
Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)
    at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..)
    at java.security.KeyPairGenerator$Delegate.initialize(KeyPairGenerator.java:627)
    at com.sun.net.ssl.internal.ssl.DHCrypt.<init>(DHCrypt.java:107)
    ... 15 more

c'est vraiment étrange je l'admet mais bon

[gaetan.cambier]

a moin que ce bug ne soit de retour : http://bugs.java.com/bugdatabase/view_bug.do?bug_id=6521495

je ne vois pas pourquoi ca ne fonctionne pas :s

[devildant]

a moin que ce bug ne soit de retour : http://bugs.java.com/bugdatabase/view_bug.do?bug_id=6521495

je ne vois pas pourquoi ca ne fonctionne pas :s

On est 2 ^^ sur la v7u67 de windows aucun souci, après je ne connais pas spécialement apple donc il est possible que 2 jvm se soit installé une 6 et une 7 et la 6 serais par default, je vais tenté de re jetez un œil se week end

[gaetan.cambier]

j'ai envoyé un pull request pour le CVE-2014-3566, SSLv3 POODLE Attack sur git pour haproxy

[Condorman]

Bonjour,

Je viens d'installer le package Haproxy de SynoCommunity; Il est en version 1.5.8-16.

Brut d'installation, si je fais "ecrire la configuration", j'ai un message d'erreur : "Il y a une erreur dans votre configuration : 7[r[999;999H[6n8"

j'ai déjà installé et désinstallé et cela ne change rien.

Je suis en DSM 5.1

Avez-vous une idée ?

Merci

Modifié le 14 novembre 2014 par Condorman

[gaetan.cambier]

Intéressant, v voir

[Diaoul]

C'est certainement du à un changement de config fait par Gaetan. Ou alors HAProxy a déprécié une fonction comme ça a été le cas par le passé.

[gaetan.cambier]

heu, un de mes changements ne vont pas faire une erreur dans le fichier de config. maintenant, j'ai di que j'allais regardé car j'ai un ami qui a un nas de libre sans haproxy et donc on peut tester une nouvelle install

ca prend du temps car je mettait en ce moment à jour le nas et la mise a jour des paquet dure une éternité, etre habitué à un modele + et ce retrouvé sur un modèle j, c'est un peu galère

[gaetan.cambier]

alors, je viens de l'installer :

il s'installe correctement et haproxy se lance --> config correcte

j'ai criquer sur "ecrire configuration" --> "Ecriture du fichier de configuration réussie"

en somme, je vois pas le problème

j'ai vu le meme probleme sur github https://github.com/SynoCommunity/spksrc/issues/1319#issue-48253508

bon, ca semble + un problème d'interface qui déconne depuis dsm 5.1 ... enfin, merci qd meme d'avoir douté de mes config

Modifié le 14 novembre 2014 par Gaetan Cambier

[devildant]

A titre d'info Je viens de faire la maj de haproxy en dsm 5.0 et aucune anomalie

[gaetan.cambier]

mais oui, c'est lié au dsm 5.1 a l'écriture du fichier de config, la seule chose que je vois, c'est ceci :

    def check(self):
        with open(os.devnull, 'w') as devnull:
            error = subprocess.check_output([self.start_stop_status, 'check'], stderr=subprocess.STDOUT)
        return error

moi, je pars du principe de rejeter la faute sur personne, mais entre dsm 5.0 et 5.1, la seule solution est que la ligne centrale là soit mal interprètée et renvoit cette valeur bizarre (pourquoi difficile à dire, je n'ai meme pas le 5.1), c'est p-e con, mais avec AppArmor activé, python peut-il lancé cette commande ?

[devildant]

D'apres google apparmor + python + la command subprocess = prise de tête, il semble Gaetan est levé le probleme, parcontre sur le forum j'ai pu voir que certaine personne arrivais a lancer haproxy sans probleme du moins de se que j'ai pu lire

je fait references

je fait référence a ce poste :

[gaetan.cambier]

oui, je me souvient, maintenant à voir, car haproxy fonctionne correctement en 5.1, c'est juste le bouton ecriture de l'interface graphique qui renvoit une erreur

comme après une mise à jour, on ne va pas forcement reécrire la config haproxy, c'est pas sur que c'est fonctionnel chez eux, mais ils ne le savent pas

[devildant]

oui, je me souvient, maintenant à voir, car haproxy fonctionne correctement en 5.1, c'est juste le bouton ecriture de l'interface graphique qui renvoit une erreur

comme après une mise à jour, on ne va pas forcement reécrire la config haproxy, c'est pas sur que c'est fonctionnel chez eux, mais ils ne le savent pas

pas faut ^^,

je sens que cette nouvelle couche de secu va être cauchemardesque, car si c'est effectivement appArmor qui bloc la commande subprocess de python ca va être compliquer pour gérer l’arrêt, le lancement et le contrôle des erreur des différent package de la communauté,il doient y avoir moyen de donnée certaine autorisation a python pour une app précise avec appArmor mais je ne connais pas cette couche

[CHILLY996]

Effectivement, je n'avais pas réécris de configuration. Je viens de tester en appuyant sur écrire configuration et j'ai bien un message d'erreur (DSM 5.1-5004 et HAProxyy 1.5.8-16).

Modifié le 14 novembre 2014 par CHILLY996

[devildant]

Merci CHILLY996 pour avoir testé

Modifié le 14 novembre 2014 par devildant

[devildant]

J'ai trouvé sur le forum en comment arreter apparmor http://forum.synology.com/enu/viewtopic.php?f=250&t=92592

Pour cela il faut lancer la commande :

/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop

Cela pourrai être intéressant de tenter de désactivé apparmor et d'écrire la conf haproxy pour voir si le bug est toujours present

[devildant]

J'ai trouvé cette page concernant apparmor si ça peu aider ftp://ftp.uni-paderborn.de/pub/linux/opensuse/distribution/SL-10.1/inst-source/docu/fr/apparmor-admin-guide_fr.pdf#page11

[gaetan.cambier]

J'ai trouvé sur le forum en comment arreter apparmor http://forum.synology.com/enu/viewtopic.php?f=250&t=92592

Pour cela il faut lancer la commande :

/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop

Cela pourrai être intéressant de tenter de désactivé apparmor et d'écrire la conf haproxy pour voir si le bug est toujours present

au moin, ca pourrait confirmer, une ame charitable sous 5.1 pourrait tester ?

[Condorman]

Je viens de tester :

Execution de :

/usr/syno/etc.defaults/rc.sysv/apparmor.sh stop

puis tentative écriture configuration

=> même erreur.

[gaetan.cambier]

alors, le problème ne viens pas de çà