Article ID: 120990, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

信息

OpenSSL 公司已于 2014 年 4 月 7 日发布一个漏洞预警。欲了解更多有关 CVE-2014-0160 的信息请访问 Open SSL 网站和网址 http://heartbleed.com/

几乎所有依赖于 OpenSSL 的系统和使用以下版本创建的系统中的服务(尤其基于 Apache 的)都会受影响:

  • Debian Wheezy(稳定)(易受影响的 OpenSSL 1.0.1e-2+deb7u4,已在 OpenSSL 1.0.1e-2+deb7u5 中修复)
  • Ubuntu 12.04.4 LTS(OpenSSL 1.0.1-4ubuntu5.11 易受影响,已在 OpenSSL 1.0.1-4ubuntu5.12 中修复)

    可使用以下命令检查 Debian/Ubuntu 的程序包版本:

    ~# dpkg -l openssl
    
  • RedHat、CentOS、CloudLinux 6.5(OpenSSL 1.0.1e-16.el6_5.4 易受影响,已在 OpenSSL 1.0.1e-16.el6_5.7 中修复)
  • OpenSUSE 12.2(OpenSSL 1.0.1c 易受影响,已在 OpenSSL 1.0.1e-1.44.1 中修复)
  • OpenSUSE 13.1(已在 OpenSSL 1.0.1e-11.32.1 中修复)

    可使用以下命令检查 Redhat/CentOS 和 OpenSUSE 的程序包版本:

    ~# rpm -q openssl
    

OpenSSL 0.97a and 0.98e (in RedHat/CentOS 5) are not vulnerable.根据 RHSA-2014-0376,只有 Redhat 6.5 有受影响的 OpenSSL 版本。

  • 在 RedHat/CentOS/CloudLinux 5.x 上,Parallels Plesk Panel 与通过更新的 OpenSSL (0.98y) 库编写的 Apache/SNI 和 Nginx 自定义小版本一同发行,因此不受影响。

根据 Debian Security Advisory DSA-2896,Debian Squeeze 不会受影响。

Plesk 不支持带有 OpenSSL 更新版本的 Ubuntu 13.10 和 12.10。根据每个 Ubuntu 安全通告 USN-2165-1 中所声明的,其它支持的 Ubuntu 版本不会受影响。

OpenSUSE 的修复程序可在 OpenSUSE 安全通告 openSUSE-SU-2014:0492-1 中查找。

解决方案

操作系统供应商已发布用于所有大版本的补丁。您必须使用您的操作系统更新流程来安装 OpenSSL 更新。例如,用于 CentOS 6、RHEL6 和 CloudLinux 6,则需使用以下命令来实现:

~# yum clean all; yum update

安装 OpenSSL 更新后,我们建议重启您的操作系统。

如果因为某些原因不能重启系统,则请重新启动依赖于 OpenSSL 的所有服务

  • Web 服务器 (Apache 或 NGINX),
  • Plesk psa 服务:

    ~# service psa restart
    
  • WPB sw-engine 服务:

    ~#/etc/init.d/sw-engine restart
    
  • 邮件 (IMAP/POP3/SMPT 服务,如 Qmail/CourierIMAP/Postfix/Sendmail)
  • 数据库 (MySQL/PostgreSQL)
  • 任何其它依赖于 SSL 和验证的服务如果不确定是否依赖于 SSL,我们也建议您重新启动它。

密码修改

强力建议在更新完成后修改管理员工的密码。

SSL 证书撤销

我们建议所有客户撤销并重新签发 SSL 证书。撤销和重新安装 SSL 证书的流程不在本文档的范围内。

其它检查

更新后,请额外检查使用 SSLLabs 服务的服务器的所有公共 HTTPS 端点。https://www.ssllabs.com/ssltest/

该测试的输出信息应包含类似信息:This server is not vulnerable to the Heartbleed attack(该服务器不会受 Heartbleed 攻击影响)。(实验)

请同时参阅

  • KB #121016 - 针对所有 Parallels 产品的总结文章

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article