Article ID: 120990, created on Apr 10, 2014, last review on Dec 2, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Informations

Le groupe OpenSSL a publié une alerte de vulnérabilité le 07 avril 2014. Vous trouverez plus d'informations sur la vulnérabilité CVE-2014-0160 sur le site Web OpenSSL et sur la page http://heartbleed.com/.

Cette vulnérabilité affecte presque tous les services (notamment ceux basés sur Apache) dans un système qui dépend d'OpenSSL ainsi que ceux qui sont créés à l'aide de l'une de ces distributions :

  • Debian Wheezy (stable) (OpenSSL 1.0.1e-2+deb7u4 vulnérable, OpenSSL 1.0.1e-2+deb7u5 corrigé)
  • Ubuntu 12.04.4 LTS (OpenSSL 1.0.1-4ubuntu5.11 vulnérable, OpenSSL 1.0.1-4ubuntu5.12 corrigé)

    Vous pouvez vérifier la version de votre pack Debian/Ubuntu à l'aide de cette commande :

    ~# dpkg -l openssl
    
  • Red Hat, CentOS, CloudLinux 6.5 (OpenSSL 1.0.1e-16.el6_5.4 vulnérable, OpenSSL 1.0.1e-16.el6_5.7 corrigé)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c vulnérable, OpenSSL 1.0.1e-1.44.1 corrigé)
  • OpenSUSE 13.1 (corrigé dans OpenSSL 1.0.1e-11.32.1)

    Vous pouvez vérifier les versions de vos packs Red Hat/CentOS et OpenSUSE à l'aide de cette commande :

    ~# rpm -q openssl
    

OpenSSL 0.97a et 0.98e (dans Red Hat/CentOS 5) ne sont pas vulnérables. Selon RHSA-2014-0376, seul RedHat 6.5 a une version vulnérable de OpenSSL.

  • Sur RedHat/CentOS/CloudLinux 5.x, Parallels Plesk est fourni avec des builds personnalisés d'Apache/SNI et Nginx et compilés avec des bibliothèques OpenSSL mises à jour (0.98y). Ils ne sont pas vulnérables.

Debian Squeeze n'est pas vulnérable comme indiqué dans l'avertissement de sécurité Debian Security Advisory DSA-2896.

Plesk ne prend pas en charge Ubuntu 13.10 et 12.10, qui ont une version à jour d'OpenSSL. Les autres publications Ubuntu prises en charge ne sont pas vulnérables, comme indiqué dans la notice de sécurité Ubuntu USN-2165-1.

Les correctifs pour OpenSUSE sont fournis dans OpenSUSE Security Announcement openSUSE-SU-2014:0492-1.

Résolution

Les fournisseurs de systèmes d'exploitation ont publié des correctifs. Ceux-ci ont été intégrés dans toutes les distributions majeures. Vous devez installer la mise à jour OpenSSL à l'aide du processus de mise à jour de votre système d'exploitation.

Par exemple, pour CentOS 6, RHEL6 et CloudLinux 6, vous pouvez utiliser les commandes suivantes :

~# yum clean all; yum update

Une fois la mise à jour d'OpenSSL installée, nous vous recommandons de rebooter votre système d'exploitation.

Si pour une raison quelconque vous ne souhaitez pas rebooter, redémarrez les services qui dépendent d'OpenSSL :

  • Serveur Web (Apache ou Nginx)
  • Service psa de Plesk :

    ~# service psa restart
    
  • Service sw-engine de WPB :

    ~#/etc/init.d/sw-engine restart
    
  • Mail (services IMAP/POP3/SMTP comme Qmail/CourierIMAP/Postfix/Sendmail)
  • Bases de données (MySQL/PostgreSQL)
  • Tous les autres services basés sur SSL et les autorisations. Si vous n'êtes pas certain qu'un service dépend de SSL, nous vous recommandons de le redémarrer.

Changements de mots de passe

Nous vous recommandons fortement de changer les mots de passe de l'équipe admin une fois la mise à jour terminée.

Révocations de certificats SSL

Nous conseillons vivement à tous les clients de révoquer les certificats SSL et d'en publier de nouveaux. Notez que la procédure de révocation et de réinstallation des certificats SSL n'entre pas dans le cadre de cet article.

Vérifications complémentaires

Une fois que la mise à jour est terminée, vérifiez également tous les terminaux finaux HTTPS publics du serveur à l'aide du service SSLLabs : https://www.ssllabs.com/ssltest/.

Le résultat de l'analyse devrait contenir une ligne similaire à celle-ci : This server is not vulnerable to the Heartbleed attack. (Experimental)

Consultez également l'article :

  • n°121016 : article récapitulatif pour tous les produits Parallels.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article
Save as PDF