Article ID: 120990, created on Apr 10, 2014, last review on Dec 5, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Information

Die OpenSSL Group hat am 07. April 2014 eine Warnmeldung zu einer Sicherheitslücke herausgegeben. Sie finden nähere Informationen über CVE-2014-0160 auf der Open SSL-Website und unter http://heartbleed.com/.

Betroffen sind fast alle Dienste (insbesondere Apache-basierte Dienste) in einem System, das sich auf OpenSSL stützt und jene Systeme, die über eine der folgenden Distributionen erstellt wurden:

  • Debian Wheezy (stabile Version) (Schwachstelle in OpenSSL 1.0.1e-2+deb7u4, behoben in OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 12.04.4 LTS (Schwachstelle in OpenSSL 1.0.1-4ubuntu5.11, behoben in OpenSSL 1.0.1-4ubuntu5.12)

    Die Version Ihres Debian/Ubuntu-Softwarepakets kann über diesen Befehl überprüft werden:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (Schwachstelle in OpenSSL 1.0.1e-16.el6_5.4, behoben in OpenSSL 1.0.1e-16.el6_5.7)
  • OpenSUSE 12.2 (Schwachstelle in OpenSSL 1.0.1c, behoben in OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (behoben in OpenSSL 1.0.1e-11.32.1)

    Die Versionen Ihrer Redhat/CentOS- und OpenSUSE-Softwarepakete kann über folgenden Befehl überprüft werden:

    ~# rpm -q openssl
    

Nicht von der Sicherheitslücke betroffen sind OpenSSL 0.97a und 0.98e (in RedHat/CentOS 5). Laut RHSA-2014-0376 hat nur RedHat 6.5 eine anfällige Version von OpenSSL.

  • Unter RedHat/CentOS/CloudLinux 5.x wird Parallels Plesk mit benutzerdefinierten Builds von Apache/SNI und Nginx ausgeliefert. Diese werden mit aktualisierten OpenSSL-Bibliotheken (0.98y) kompiliert. Diese sind nicht anfällig.

Debian Squeeze ist laut Angaben im Debian-Sicherheitshinweis DSA-2896 nicht anfällig.

Plesk unterstützt kein Ubuntu 13.10 und 12.10, das mit einer aktualisierten Version von OpenSSL ausgestattet ist. Andere unterstützte Ubuntu Releases sind laut Ubuntu Sicherheitshinweis USN-2165-1 nicht anfällig.

Patches für OpenSUSE werden im OpenSUSE Sicherheitshinweis openSUSE-SU-2014:0492-1 genannt.

Lösung

Die Anbieter der Betriebssysteme haben Patches veröffentlicht, die in allen wichtigen Distributionen integriert wurden. Sie müssen das OpenSSL-Update über den Update-Prozess Ihres Betriebssystems installieren.

Zum Beispiel kann dies unter CentOS 6, RHEL6 und CloudLinux 6 mithilfe des folgenden Befehls durchgeführt werden:

~# yum clean all; yum update

Nach der erfolgreichen Installation des OpenSSL-Updates empfehlen wir einen Neustart Ihres Betriebssystems.

Falls ein Neustart aus irgendeinem Grund nicht in Frage kommt, sollten Sie alle von OpenSSL abhängigen Dienste neu starten:

  • Webserver (Apache oder NGINX)
  • Plesk Dienst psa:

    ~# service psa restart
    
  • WPB-Dienst sw-engine:

    ~#/etc/init.d/sw-engine restart
    
  • E-Mail (IMAP/POP3/SMTP-Dienste wie Qmail/CourierIMAP/Postfix/Sendmail)
  • Datenbanken (MySQL/PostgreSQL)
  • Alle anderen Dienste, die auf SSL und Autorisierung angewiesen sind. Falls Sie sich nicht sicher sind, ob ein Dienst von SSL abhängig ist, empfehlen wir, ihn dennoch neu zu starten.

Passwortänderungen

Es ist unbedingt zu empfehlen, die Passwörter für alle Administratoren nach Abschluss des Updates zu ändern.

Widerrufen von SSL-Zertifikaten

Wir raten allen Kunden dazu, SSL-Zertifikate zu widerrufen und neu ausstellen zu lassen. Eine Beschreibung des Vorgehens zum Widerrufen und zur Neuinstallation von SSL-Zertifikaten gehört nicht zum Umfang dieses Dokumentes.

Zusätzliche Überprüfung

Überprüfen Sie nach dem Aktualisieren von OpenSSL bitte alle öffentlichen HTTPS-Endpunkte des Servers mithilfe des SSLLabs-Dienstes: https://www.ssllabs.com/ssltest/

In der Ausgabe des Tests muss in etwa folgende Zeile enthalten sein: This server is not vulnerable to the Heartbleed attack. (Experimental)

Siehe auch

  • KB 121016 - Zusammenfassender Artikel für alle Parallels Produkte

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article
Save as PDF