Article ID: 120990, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Información

El grupo OpenSSL ha emitido una alerta de vulnerabilidad con fecha del 7 de abril del 2014. Encontrará más información acerca de CVE-2014-0160 en el sitio web de OpenSSL y en http://heartbleed.com/.

Dicha vulnerabilidad afecta a prácticamente todos los servicios − especialmente a aquellos basados en Apache − en sistemas que dependan de OpenSSL y en aquellos sistemas creados mediante una de las siguientes distribuciones:

  • Debian Wheezy (estable) (vulnerable OpenSSL 1.0.1e-2+deb7u4, corregido en OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 12.04.4 LTS (vulnerable OpenSSL 1.0.1-4ubuntu5.11, corregido en OpenSSL 1.0.1-4ubuntu5.12)

    La versión del paquete de Debian/Ubuntu puede comprobarse ejecutando el siguiente comando:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (vulnerable OpenSSL 1.0.1e-16.el6_5.4, corregido en OpenSSL 1.0.1e-16.el6_5.7)
  • OpenSUSE 12.2 (vulnerable OpenSSL 1.0.1c, corregido en OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (corregido en OpenSSL 1.0.1e-11.32.1)

    La versión del paquete de Redhat/CentOS y OpenSUSE puede comprobarse ejecutando el siguiente comando:

    ~# rpm -q openssl
    

OpenSSL 0.97a y 0.98e (en RedHat/CentOS 5) no son vulnerables. Según lo especificado en RHSA-2014-0376, únicamente Redhat 6.5 tiene una versión vulnerable de OpenSSL.

  • En RedHat/CentOS/CloudLinux 5.x, Parallels Plesk Panel incluye builds personalizadas de Apache/SNI y Nginx compiladas con librerías actualizadas de OpenSSL (0.98y).Estas no son vulnerables.

Debian Squeeze no es vulnerable, tal y como se indica en el aviso de seguridad DSA-2896 de Debian.

Plesk no soporta Ubuntu 13.10 y 12.10, que disponen de una versión actualizada de OpenSSL. Las demás versiones soportadas de Ubuntu no son vulnerables, tal y como se afirma en el aviso de seguridad USN-2165-1 de Ubuntu.

En el comunicado de seguridad openSUSE-SU-2014:0492-1 de OpenSUSE se proporcionan los pasos a seguir para resolver esta incidencia.

Resolución

Los proveedores de los sistemas operativos han publicado correcciones para esta vulnerabilidad y estas han sido añadidas a todas las distribuciones principales. Instale la actualización de OpenSSL siguiendo el procedimiento de actualización de su sistema operativo. A modo de ejemplo, en el caso de CentOS 6, RHEL6 y CloudLinux 6, esto puede realizarse ejecutando los siguientes comandos:

~# yum clean all; yum update

Una vez la actualización de OpenSSL haya sido instalada, le recomendamos reiniciar su sistema operativo.

Si por algún motivo no desea realizar dicho reinicio, reinicie todos los servicios que dependan de OpenSSL:

  • Servidor web (Apache o NGINX)
  • Servicio psa de Plesk:

    ~# service psa restart
    
  • Servicio sw-engine de WPB:

    ~#/etc/init.d/sw-engine restart
    
  • Correo (servicios IMAP/POP3/SMTP como Qmail/CourierIMAP/Postfix/Sendmail)
  • Bases de datos (MySQL/PostgreSQL)
  • Cualquier otro servicio que dependa de SSL y autorización. Si no está seguro de si un servicio depende o no de SSL, le recomendamos reiniciarlo.

Cambio de contraseñas

Es extremadamente recomendable que cambie las contraseñas del personal administrativo una vez finalizada la actualización.

Revocaciones de certificados SSL

Instamos a todos los clientes a revocar y volver a emitir los certificados SSL. El procedimiento de revocación y reinstalación de certificados SSL no se detalla en este artículo.

Verificaciones adicionales

Una vez completada la actualización, verifique todos los endpoints HTTPS públicos del servidor mediante el servicio SSLLabs disponible en la página https://www.ssllabs.com/ssltest/

La salida del análisis debería incluir una fila similar a la siguiente: This server is not vulnerable to the Heartbleed attack. (Experimental)

Otro artículo que puede interesarle:

  • KB #121016 Resumen del impacto de la vulnerabilidad en todos los productos de Parallels

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article
Save as PDF