Article ID: 121916, created on Jul 4, 2014, last review on Jul 4, 2014

  • Applies to:
  • Operations Automation 5.5
  • Operations Automation 5.4
  • Operations Automation 5.0
  • Plesk Automation 11.5
  • Plesk
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo containers for Linux 4.6
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Informations

Le groupe OpenSSL a publié une alerte de vulnérabilité le 5 juin 2014. Pour plus d'informations sur l'avis de sécurité CVE-2014-0224 consultez le site Web OpenSSL.

Un correctif a été fourni pour les versions 0.9.8, 1.0.0 et 1.0.1 :

  • Les utilisateurs OpenSSL 0.9.8 SSL/TLS (client et/ou serveur) doivent mettre à niveau vers la version 0.9.8za.
  • Les utilisateurs OpenSSL 1.0.0 SSL/TLS (client et/ou serveur) doivent mettre à niveau vers la version 1.0.0m.
  • Les utilisateurs OpenSSL 1.0.1 SSL/TLS (client et/ou serveur) doivent mettre à niveau vers la version 1.0.1h.

Pour Windows

Cette vulnérabilité affecte Parallels Containers pour Windows avec le Parallels Dispatcher installé pour la gestion via PACI, ainsi que quelques composants compilés avec la version vulnérable d'OpenSSL. La mise à jour d'OpenSSL sera incluse dans le prochain hotfix.

Pour Linux

Cette vulnérabilité concerne presque tous les services (notamment ceux basés sur Apache) dans les systèmes dépendants d'OpenSSL, ainsi que ceux créés à l'aide d'une des distributions ci-dessous :

  • Debian Wheezy (stable) (vulnérable : OpenSSL 1.0.1e-2+deb7u7 ; corrigée : OpenSSL 1.0.1e-2+deb7u10)
  • Ubuntu 14.04 LTS (vulnérable : OpenSSL 1.0.1f-1ubuntu2.1 et les versions antérieures ; corrigée : OpenSSL 1.0.1f-1ubuntu2.2)
  • Ubuntu 13.10 (vulnérable : OpenSSL 1.0.1e-3ubuntu1.3 et les versions antérieures ; corrigée : OpenSSL 1.0.1e-3ubuntu1.4)
  • Ubuntu 12.04 LTS (vulnérable : OpenSSL 1.0.1-4ubuntu5.13 et les versions antérieures ; corrigée : OpenSSL 1.0.1-4ubuntu5.14)

    Vous pouvez vérifier la version du pack pour Debian/Ubuntu à l'aide de la commande :

    ~# dpkg -l openssl
    
  • Red Hat, CentOS, CloudLinux 6.5 (vulnérable : OpenSSL 1.0.1e-16.el6_5.7 et les versions antérieures ; corrigée : OpenSSL 1.0.1e-16.el6_5.14)
  • Fedora 19 (corrigée dans : OpenSSL 1.0.1e-38.fc19)
  • Fedora 20 (corrigée dans : OpenSSL 1.0.1e-38.fc20)

    Vous pouvez vérifier la version du pack pour Red Hat, CentOS et Fedora à l'aide de la commande :

    ~# rpm -q openssl
    

Résolution

Mise à jour du Hardware Node

Les fournisseurs de systèmes d'exploitation ont publié des correctifs. Ceux-ci ont été intégrés dans toutes les distributions majeures. Vous devez appliquer les mises à jour OpenSSL en installant la nouvelle version du pack openssl :

~# yum clean all; yum update openssl

Remarque : PSBM, PCS et PVC pour Windows utilisent SSL pour les communications internes avec Parallels Dispatcher uniquement. Cela diminue significativement le risque de compromettre des données. Toutefois, il est vivement recommandé d'appliquer les correctifs pour SSL étant donné que des services tiers peuvent l'utiliser.

PVA Power Panel et node de gestion PVA

Parallels Virtual Automation utilise des versions non vulnérables d'OpenSSL ainsi que l'OpenSSL de l'OS pour les services Web basés sur Apache.

PVA Power Panel utilise le serveur Web Apache exécuté sur l'hôte. Il est nécessaire de mettre à jour OpenSSL et de redémarrer Apache sur le Hardware Node :

~# service httpd restart

Le node de gestion PVA utilise les versions d'Apache et d'OpenSSL du système sur lequel il est installé. Mettez à jour l'installation en fonction de son type et redémarrez les services :

  • Dans un conteneur :

    ~# vzctl update CTID
    
  • Dans une machine virtuelle ou un serveur physique :

    ~# yum clean all; yum update
    

Application des correctifs aux conteneurs

  1. Pour les conteneurs existants :

    ~# vzpkg update CTID
    

    ou pour un pack unique en particulier :

    ~# vzpkg install CTID -p openssl
    
  2. Le ou les caches des templates du système d'exploitation doivent être recréés :

    ~# vzpkg update cache DISTR-VER-ARCH
    

Une fois que la mise à jour est appliquée, tous les services basés sur OpenSSL doivent être redémarrés :

  • Redémarrez le serveur SSH, OpenVPN, Apache.
  • Redémarrez tous les services exécutés sur le système d'exploitation hôte qui dépendent d'OpenSSL.

c62e8726973f80975db0531f1ed5c6a2 2897d76d56d2010f4e3a28f864d69223 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0c05f0c76fec3dd785e9feafce1099a9 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8 36627b12981f68a16405a79233409a5e a26b38f94253cdfbf1028d72cf3a498b 319940068c5fa20655215d590b7be29b 5356b422f65bdad1c3e9edca5d74a1ae caea8340e2d186a540518d08602aa065 c27596ac4fff6cb4c8ec8891dae57001 2554725ed606193dd9bbce21365bed4e ac82ce33439a9c1feec4ff4f2f638899 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 5b048d9bddf8048a00aba7e0bdadef37 614fd0b754f34d5efe9627f2057b8642 33a70544d00d562bbc5b17762c4ed2b3 e0aff7830fa22f92062ee4db78133079

Email subscription for changes to this article
Save as PDF