Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Informations

Le groupe OpenSSL a publié une alerte de vulnérabilité le 7 avril 2014. Pour plus d'informations sur l'avis de sécurité CVE-2014-0160, consultez le site Web OpenSSL et la page http://heartbleed.com/.

Pour Windows

Parallels Containers pour Windows peut être installé avec Parallels Dispatcher pour la gestion des conteneurs via PACI et certains composants sont compilés avec une version OpenSSL vulnérable.

Pour Linux

Cette vulnérabilité concerne presque tous les services (notamment ceux basés sur Apache) dans les systèmes dépendants d'OpenSSL, ainsi que ceux créés à l'aide d'une des distributions ci-dessous :

  • Debian Wheezy (stable) (OpenSSL 1.0.1e-2+deb7u4 vulnérable, OpenSSL 1.0.1e-2+deb7u5 corrigé)
  • Ubuntu 13.10 (OpenSSL 1.0.1e-3ubuntu1.1 vulnérable, OpenSSL 1.0.1e-3ubuntu1.2 corrigé)
  • Ubuntu 12.10 (OpenSSL 1.0.1c-3ubuntu2.6 vulnérable, OpenSSL 1.0.1c-3ubuntu2.7 corrigé)
  • Ubuntu 12.04.4 LTS (OpenSSL 1.0.1-4ubuntu5.11 vulnérable, OpenSSL 1.0.1-4ubuntu5.12 corrigé)

    Vous pouvez vérifier la version du pack pour Debian/Ubuntu à l'aide de la commande :

    ~# dpkg -l openssl
    
  • Red Hat, CentOS, CloudLinux 6.5 (OpenSSL 1.0.1e-16.el6_5.4 vulnérable, OpenSSL 1.0.1e-16.el6_5.7 corrigé)
  • Fedora 18 (OpenSSL 1.0.1e-4 sans mise à jour : Fedora 18 n'est plus pris en charge)
  • Fedora 19 (corrigé dans OpenSSL 1.0.1e-37.fc19.1)
  • Fedora 20 (corrigé dans OpenSSL 1.0.1e-37.fc20.1)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c vulnérable, OpenSSL 1.0.1e-1.44.1 corrigé)
  • OpenSUSE 13.1 (corrigé dans OpenSSL 1.0.1e-11.32.1)

    Vous pouvez vérifier la version du pack pour Red Hat, CentOS et OpenSUSE à l'aide de la commande :

    ~# rpm -q openssl
    

OpenSSL 0.97a et 0.98e (dans Red Hat/CentOS 5) ne sont pas vulnérables. D'après l'avertissement RHSA-2014-0376, seul Red Hat 6.5 comporte une version d'OpenSSL vulnérable.

Debian Squeeze n'est pas vulnérable, comme indiqué dans l'avis de sécurité Debian DSA-2896.

Les autres publications Ubuntu prises en charge ne sont pas vulnérables, comme indiqué dans la notice de sécurité Ubuntu USN-2165-1.

Fedora évolue rapidement et le statut du problème est disponible dans l'article du magazine Fedora.

Les correctifs pour OpenSUSE sont fournis dans l'annonce de sécurité d'OpenSUSE openSUSE-SU-2014:0492-1.

Résolution

Mise à jour du Hardware Node

Les fournisseurs de systèmes d'exploitation ont publié des correctifs. Ceux-ci ont été intégrés dans toutes les distributions majeures. Vous devez appliquer les mises à jour OpenSSL pour les :

  1. Serveurs matériel avec PCS :

    ~# yum clean all; yum update openssl
    
  2. Serveurs matériel avec PSBM : avec l'outil vzup2date

    • n° 113945 Installation de mises à jour sur le node Parallels Server Bare Metal 5
  3. Serveurs matériel avec PVC :

    ~# yum clean all; yum update openssl
    
    • KB n°1170 Comment puis-je maintenir mon installation Parallels Virtuozzo Containers à jour ?

Remarque : PSBM, PCS et PVC pour Windows utilisent SSL pour les communications internes avec Parallels Dispatcher uniquement. Cela diminue significativement le risque de compromettre des données. Toutefois, il est vivement recommandé d'appliquer les correctifs pour SSL étant donné que des services tiers peuvent l'utiliser.

La version à jour de Parallels Dispatcher avec la nouvelle version d'OpenSSL est disponible :

  • n° 121002 Parallels Cloud Server 6.0 Mise à jour 5 Hotfix 11 (6.0.5-1811)
  • n° 121003 Parallels Cloud Server 5.0.0 Mise à jour 9 Hotfix 4 (5.0.0-1340)
  • n° 121129 Parallels Virtuozzo Containers pour Windows 4.6 et Parallels Virtuozzo Containers pour Windows 6.0

PVA Power Panel et node de gestion PVA

Parallels Virtual Automation utilise des versions non vulnérables d'OpenSSL ainsi que l'OpenSSL de l'OS pour les services Web basés sur Apache.

PVA Power Panel utilise le serveur Web Apache exécuté sur l'hôte. Il est nécessaire de mettre à jour OpenSSL et de redémarrer Apache sur le Hardware Node :

~# service httpd restart

Le node de gestion PVA utilise Apache et OpenSSL sur le système sur lequel il est installé. Mettez à jour l'installation en fonction de son type et redémarrez les services :

  • Dans un conteneur :

    ~# vzctl update CTID
    
  • Dans une machine virtuelle ou un serveur physique :

    ~# yum clean all; yum update
    

Application des correctifs aux conteneurs

  1. Pour les conteneurs existants :

    ~# vzpkg update CTID
    

    ou pour un pack unique en particulier :

    ~# vzpkg install CTID -p openssl
    
  2. Le ou les caches des templates du système d'exploitation doivent être recréés :

    ~# vzpkg update cache DISTR-VER-ARCH
    

Une fois que la mise à jour est appliquée, tous les services basés sur OpenSSL doivent être redémarrés :

  • Redémarrez le serveur SSH, OpenVPN, Apache.
  • Redémarrez tous les services exécutés sur le système d'exploitation hôte qui dépendent d'OpenSSL.

Consultez également l'article :

  • n°121016 : article récapitulatif pour tous les produits Parallels.

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article
Save as PDF