Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Información

El grupo OpenSSL ha emitido una alerta de vulnerabilidad con fecha del 7 de abril del 2014. Encontrará más información acerca de CVE-2014-0160 en el sitio web de OpenSSL y en http://heartbleed.com/.

Para Windows

Parallels Containers para Windows puede instalarse con Parallels Dispatcher para la gestión de contenedores mediante PACI y unos pocos componentes se compilan con una versión vulnerable de OpenSSL.

Para Linux

Dicha vulnerabilidad afecta a prácticamente todos los servicios − especialmente a aquellos basados en Apache − en sistemas que dependan de OpenSSL y en aquellos sistemas creados mediante una de las siguientes distribuciones:

  • Debian Wheezy (estable) (vulnerable OpenSSL 1.0.1e-2+deb7u4, corregido en OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 13.10 (vulnerable OpenSSL 1.0.1e-3ubuntu1.1, corregido en OpenSSL 1.0.1e-3ubuntu1.2)
  • Ubuntu 12.10 (vulnerable OpenSSL 1.0.1c-3ubuntu2.6, corregido en OpenSSL 1.0.1c-3ubuntu2.7)
  • Ubuntu 12.04.4 LTS (vulnerable OpenSSL 1.0.1-4ubuntu5.11, corregido en OpenSSL 1.0.1-4ubuntu5.12)

    La versión del paquete de Debian/Ubuntu puede comprobarse ejecutando el siguiente comando:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (vulnerable OpenSSL 1.0.1e-16.el6_5.4, corregido en OpenSSL 1.0.1e-16.el6_5.7)
  • Fedora 18 (OpenSSL 1.0.1e-4 sin actualización: Fedora 18 ya no es soportado)
  • Fedora 19 (corregido en OpenSSL 1.0.1e-37.fc19.1)
  • Fedora 20 (corregido en OpenSSL 1.0.1e-37.fc20.1)
  • OpenSUSE 12.2 (vulnerable OpenSSL 1.0.1c, corregido en OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (corregido en OpenSSL 1.0.1e-11.32.1)

    La versión del paquete de Redhat/CentOS y OpenSUSE puede comprobarse ejecutando el siguiente comando:

    ~# rpm -q openssl
    

OpenSSL 0.97a y 0.98e (en RedHat/CentOS 5) no son vulnerables. Según lo especificado en RHSA-2014-0376, únicamente Redhat 6.5 tiene una versión vulnerable de OpenSSL.

Debian Squeeze no es vulnerable, tal y como se indica en el aviso de seguridad DSA-2896 de Debian.

Las demás versiones soportadas de Ubuntu no son vulnerables, tal y como se afirma en el aviso de seguridad USN-2165-1 de Ubuntu.

Fedora se ve modificado rápidamente y el estado de la incidencia puede consultarse en este artículo de Fedora Magazine.

En el comunicado de seguridad openSUSE-SU-2014:0492-1 de OpenSUSE se proporcionan los pasos a seguir para resolver esta incidencia.

Resolución

Actualización del nodo hardware

Los proveedores de los sistemas operativos han publicado correcciones para esta vulnerabilidad y estas han sido añadidas a todas las distribuciones principales. Aplique las actualizaciones de OpenSSL de la siguiente forma:

  1. Servidores de hardware con PCS:

    ~# yum clean all; yum update openssl
    
  2. Servidores de hardware con PSBM − A través de la herramienta vzup2date

    • KB #113945 Instalación de actualizaciones en un nodo Parallels Server Bare Metal 5
  3. Servidores de hardware con PVC:

    ~# yum clean all; yum update openssl
    
    • KB #1170 ¿Cómo puedo mantener una instalación de Parallels Virtuozzo Containers debidamente actualizada?

Nota: PSBM, PCS y PVC para Windows sólo utilizan SSL para las comunicaciones internas con Dispatcher, lo que reduce de forma significativa el riesgo de impacto de esta vulnerabilidad. De todos modos es extremadamente recomendable aplicar las correcciones para SSL, ya que este puede ser usado por algunos otros servicios de terceros.

Tal y como puede ver en el siguiente artículo de nuestra base de conocimiento, hemos recreado la versión de Parallels Dispatcher para que incluya la versión más reciente de OpenSSL:

  • KB #121002 Parallels Cloud Server 6.0 Actualización 5 Hotfix 11 (6.0.5-1811)
  • KB #121003 Parallels Server Bare Metal 5.0.0 Actualización 9 Hotfix 4 (5.0.0-1340)
  • KB #121129 Parallels Virtuozzo Containers para Windows 4.6 y Parallels Virtuozzo Containers para Windows 6.0

PVA Power Panel y nodo de administración de PVA

Parallels Virtual Automation utiliza una versión de OpenSSL que no es vulnerable, además de usar OpenSSL para servicios basados en web mediante Apache.

PVA Power Panel utiliza el servidor web Apache que se ejecuta en el host, por lo que es necesario actualizar OpenSSL y reiniciar Apache en el nodo hardware:

~# service httpd restart

El nodo de administración de PVA utiliza el Apache y el OpenSSL del sistema en el que se ha instalado, por lo que es necesario actualizar la instalación de acuerdo con su tipo y reiniciar los servicios:

  • En un contenedor:

    ~# vzctl update CTID
    
  • En una máquina virtual o servidor físico:

    ~# yum clean all; yum update
    

Aplicación de la corrección en contenedores

  1. En el caso de contenedores ya existentes:

    ~# vzpkg update CTID
    

    O de forma específica para un único paquete:

    ~# vzpkg install CTID -p openssl
    
  2. Vuelva a crear la(s) caché(s) de la plantilla del sistema operativo:

    ~# vzpkg update cache DISTR-VER-ARCH
    

Una vez se haya aplicado la actualización, deberían reiniciarse todos los servicios que dependen de OpenSSL:

  • Reinicie el servidor SSH, OpenVPN y Apache.
  • Reinicie cualquier otro servicio que se esté ejecutando en el sistema operativo host que depende de OpenSSL.

Otro artículo que puede interesarle:

  • KB #121016 Resumen del impacto de la vulnerabilidad en todos los productos de Parallels

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article
Save as PDF