Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Information

Die OpenSSL Group hat am 07. April 2014 eine Warnmeldung zu einer Sicherheitslücke herausgegeben. Sie finden nähere Informationen über CVE-2014-0160 auf der Open SSL-Website und unter http://heartbleed.com/.

Für Windows

Parallels Containers für Windows kann für die Verwaltung der Container durch PACI mit dem Parallels Dispatcher installiert werden, und einige Komponenten werden mit einer angreifbaren OpenSSL-Version kompiliert.

Für Linux

Betroffen sind fast alle Dienste (insbesondere Apache-basierte Dienste) in einem System, die sich auf OpenSSL stützen und jene Systeme, die über eine der folgenden Distributionen erstellt wurden:

  • Debian Wheezy (stabile Version) (Schwachstelle in OpenSSL 1.0.1e-2+deb7u4, behoben in OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 13.10 (Schwachstelle in OpenSSL 1.0.1e-3ubuntu1.1, behoben in OpenSSL 1.0.1e-3ubuntu1.2)
  • Ubuntu 12.10 (Schwachstelle in OpenSSL 1.0.1c-3ubuntu2.6, behoben in OpenSSL 1.0.1c-3ubuntu2.7)
  • Ubuntu 12.04.4 LTS (Schwachstelle in OpenSSL 1.0.1-4ubuntu5.11, behoben in OpenSSL 1.0.1-4ubuntu5.12)

    Die Version des Softwarepakets für Debian/Ubuntu kann über folgenden Befehl überprüft werden:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (Schwachstelle in OpenSSL 1.0.1e-16.el6_5.4, behoben in OpenSSL 1.0.1e-16.el6_5.7)
  • Fedora 18 (OpenSSL 1.0.1e-4 ohne Update: Fedora 18 wird nicht mehr unterstützt)
  • Fedora 19 (behoben in OpenSSL 1.0.1e-37.fc19.1)
  • Fedora 20 (behoben in OpenSSL 1.0.1e-37.fc20.1)
  • OpenSUSE 12.2 (Schwachstelle in OpenSSL 1.0.1c, behoben in OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (behoben in OpenSSL 1.0.1e-11.32.1)

    Die Version des Softwarepakets für Redhat/CentOS und OpenSUSE kann über folgenden Befehl überprüft werden:

    ~# rpm -q openssl
    

Nicht von der Sicherheitslücke betroffen sind OpenSSL 0.97a und 0.98e (in RedHat/CentOS 5). Laut RHSA-2014-0376 hat nur RedHat 6.5 eine anfällige Version von OpenSSL.

Debian Squeeze ist laut Angaben im Debian-Sicherheitshinweis DSA-2896 nicht anfällig.

Andere unterstützte Ubuntu Releases sind laut Ubuntu Sicherheitshinweis USN-2165-1 nicht anfällig.

Fedora ändert sich stetig und schnell. Der Status des Problems findet sich im Artikel des Fedora Magazine.

Patches für OpenSUSE werden im OpenSUSE Sicherheitshinweis openSUSE-SU-2014:0492-1 genannt.

Lösung

Hardware Node Update

Die Anbieter der Betriebssysteme haben Patches veröffentlicht, die in allen wichtigen Distributionen integriert wurden. Sie müssen die OpenSLL-Updates anwenden bei:

  1. Hardware-Servern mit Parallels Cloud Server (PCS):

    ~# yum clean all; yum update openssl
    
  2. Hardware-Servern mit Parallels Server Bare Metal (PSBM): mithilfe des Tools vzup2date

    • KB 113945 Installieren von Updates auf Parallels Server Bare Metal 5 Nodes
  3. Hardware-Servern mit Parallels Virtuozzo Containers (PVC):

    ~# yum clean all; yum update openssl
    
    • KB 1170 Wie halte ich eine PVC-Installation up-to-date?

Hinweis: PSBM, PCS und PVC für Windows nutzen SSL nur für die interne Kommunikation mit dem Dispatcher. Dies reduziert das Risiko eines Angriffes deutlich. Dennoch ist unbedingt zu empfehlen, die Patches für SSL anzuwenden, da dieses von einigen anderen Third-Party-Diensten genutzt werden könnte.

Eine neu erstellte Version des Parallels Dispatchers mit einer neueren OpenSSL-Version ist verfügbar:

  • KB 121002 Parallels Cloud Server 6.0 Update 5 Hotfix 11 (6.0.5-1811)
  • KB 121003 Parallels Server Bare Metal 5.0.0 Update 9 Hotfix 4 (5.0.0-1340)
  • KB 121129 Parallels Virtuozzo Containers für Windows 4.6 und Parallels Virtuozzo Containers für Windows 6.0

PVA Power Panel und PVA Management Node

Parallels Virtual Automation (PVA) verwendet eine nicht von dieser Sicherheitslücke betroffene Version von OpenSSL. Außerdem nutzt es das OpenSSL des Systems für webbasierte Dienste via Apache.

Das PVA Power Panel nutzt den auf dem Host ausgeführten Apache Webserver. Daher ist ein Update von OpenSSL und Neustart von Apache auf dem Hardware Node nötig:

~# service httpd restart

Der PVA Management Node nutzt Apache und OpenSSL aus dem System, in dem er installiert ist. Aktualisieren Sie die Installation entsprechend ihres Typs und starten Sie die Dienste neu:

  • in einem Container:

    ~# vzctl update CTID
    
  • in einer virtuellen Maschine oder auf einem physischen Server:

    ~# yum clean all; yum update
    

Anwenden des Patches auf Container

  1. Für bestehende Container:

    ~# vzpkg update CTID
    

    oder gezielt ein einzelnes Paket:

    ~# vzpkg install CTID -p openssl
    
  2. Die Caches der Betriebssystem-Templates sollten neu erstellt werden:

    ~# vzpkg update cache DISTR-VER-ARCH
    

Nachdem das Update übernommen wurde, sollten alle auf OpenSSL angewiesenen Dienste neu gestartet werden:

  • Starten Sie den SSH-Server, sowie OpenVPN und Apache neu.
  • Starten Sie alle anderen auf dem Host-Betriebssystem laufenden Dienste, die von OpenSSL abhängig sind, neu.

Siehe auch

  • KB 121016 - Zusammenfassender Artikel für alle Parallels Produkte

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article
Save as PDF