Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

信息

OpenSSL 公司已于 2014 年 4 月 7 日发布一个漏洞预警。欲了解更多有关 CVE-2014-0160 的信息请访问 Open SSL 网站和网址 http://heartbleed.com/

对于 Windows:

Parallels Containers for Windows 可能与 Parallels Dispatcher 一起安装用于通过 PACI 管理的 container,少数组件使用易受影响的 OpenSSL 版本编译。

对于 Linux:

几乎所有依赖于 OpenSSL 的系统和使用以下版本创建的系统中的服务(尤其基于 Apache 的)都会受影响:

  • Debian Wheezy(稳定)(易受影响的 OpenSSL 1.0.1e-2+deb7u4,已在 OpenSSL 1.0.1e-2+deb7u5 中修复)
  • Ubuntu 13.10(OpenSSL 1.0.1e-3ubuntu1.1 易受影响,已在 OpenSSL 1.0.1e-3ubuntu1.2 中修复)
  • Ubuntu 12.10(OpenSSL 1.0.1c-3ubuntu2.6 易受影响,已在 OpenSSL 1.0.1c-3ubuntu2.7 中修复)
  • Ubuntu 12.04.4 LTS(OpenSSL 1.0.1-4ubuntu5.11 易受影响,已在 OpenSSL 1.0.1-4ubuntu5.12 中修复)

    可使用以下命令检查 Debian/Ubuntu 的程序包版本:

    ~# dpkg -l openssl
    
  • RedHat、CentOS、CloudLinux 6.5(OpenSSL 1.0.1e-16.el6_5.4 易受影响,已在 OpenSSL 1.0.1e-16.el6_5.7 中修复)
  • Fedora 18(OpenSSL 1.0.1e-4 没有更新不再支持 Fedora 18
  • Fedora 19(已在 OpenSSL 1.0.1e-37.fc19.1 中修复)
  • Fedora 20(已在 OpenSSL 1.0.1e-37.fc20.1 中修复)
  • OpenSUSE 12.2(OpenSSL 1.0.1c 易受影响,已在 OpenSSL 1.0.1e-1.44.1 中修复)
  • OpenSUSE 13.1(已在 OpenSSL 1.0.1e-11.32.1 中修复)

    可使用以下命令检查 Redhat/CentOS 和 OpenSUSE 的程序包版本:

    ~# rpm -q openssl
    

OpenSSL 0.97a and 0.98e (in RedHat/CentOS 5) are not vulnerable.根据 RHSA-2014-0376,只有 Redhat 6.5 有受影响的 OpenSSL 版本。

根据 Debian Security Advisory DSA-2896,Debian Squeeze 不会受影响。

根据每个 Ubuntu 安全通告 USN-2165-1 中所声明的,其它支持的 Ubuntu 版本不会受影响。

Fedora 更改迅速,该问题的状态可进入 the Fedora Magazine article 进行查找。

OpenSUSE 的修复程序可在 OpenSUSE 安全通告 openSUSE-SU-2014:0492-1 中查找。

解决方案

硬件节点更新

操作系统供应商已发布用于所有大版本的补丁。您必须应用 OpenSLL 更新:

  1. 安装有 PCS 的硬件服务器:

    ~# yum clean all; yum update openssl
    
  2. 安装有 PSBM 的硬件服务器:使用 vzup2date 工具

    • KB #113945 在 Parallels Server Bare Metal 5 节点上安装更新
  3. 安装有 PVC 的硬件服务器:

    ~# yum clean all; yum update openssl
    
    • KB #1170 如何保持 PVC 持续更新?

注意:PSBM、PCS 和 PVC for Windows 使用 SSL 仅用于与 Dispatcher 进行内部交流,这极大程度上降低了受漏洞影响的风险,但是在此仍强力建议应用 SSL 的修复程序,因为该证书可能会被其它一些第三方服务使用。

安装有更新的 OpenSSL 版本的 Parallels Dispatcher 重建版本已可用:

  • KB #121002 Parallels Cloud Server 6.0 Update 5 Hotfix 11 (6.0.5-1811)
  • KB #121003 Parallels Server Bare Metal 5.0.0 Update 9 Hotfix 4 (5.0.0-1340)
  • KB #121129 Parallels Virtuozzo Containers for Windows 4.6 与 Parallels Virtuozzo Containers for Windows 6.0

PVA Power Panel 和 PVA MN

Parallels Virtual Automation 使用不受影响的 OpenSSL 版本,同时还使用系统 OpenSSL 用于通过 Apache 的基于 web 的服务。

PVA Power Panel 使用在主机上运行的 Apache web 服务器, 则需要在硬件节点上更新 OpenSSL 和重启 Apache:

~# service httpd restart

PVA 管理节点使用系统的 Apache 和 OpenSSL,请根据其类型更新安装并重启服务:

  • 在 container 中:

    ~# vzctl update CTID
    
  • 在一个虚拟机或一台物理服务器上:

    ~# yum clean all; yum update
    

应用修复到 container

  1. 对于现有的 container:

    ~# vzpkg update CTID
    

    或单个程序包:

    ~# vzpkg install CTID -p openssl
    
  2. 应重新创建操作系统模板缓存:

    ~# vzpkg update cache DISTR-VER-ARCH
    

更新应用后,应重新启动所有依赖于 OpenSSL 的服务:

  • 重启 SSH 服务器、OpenVPN、Apache。
  • 重启在主机操作系统上运行的依赖于 OpenSSL 的任何其它服务:

请同时参阅

  • KB #121016 - 针对所有 Parallels 产品的总结文章

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article