Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Informazione

Il gruppo OpenSSL ha pubblicato un avviso di vulnerabilità il 7 aprile 2014. Maggiori informazioni su CVE-2014-0160 sono disponibili sul sito web OpenSSL e su http://heartbleed.com/.

per Windows

Parallels Containers per Windows potrebbe essere installato con Parallels Dispatcher per la gestione di container da PACI e alcuni componenti sono compilati con la versione OpenSSL vulnerabile.

per Linux

Pressoché tutti i servizi sono affetti dal problema (sopratutto quelli basati su Apache) in un sistema che dipende da OpenSSL e quelli creati mediante una delle seguenti distribuzioni:

  • Debian Wheezy (stable) (vulnerabile OpenSSL 1.0.1e-2+deb7u4, risolto in OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 13.10 (vulnerabile OpenSSL 1.0.1e-3ubuntu1.1, risolto in OpenSSL 1.0.1e-3ubuntu1.2)
  • Ubuntu 12.10 (vulnerabile OpenSSL 1.0.1c-3ubuntu2.6, risolto in OpenSSL 1.0.1c-3ubuntu2.7)
  • Ubuntu 12.04.4 LTS (vulnerabile OpenSSL 1.0.1-4ubuntu5.11, risolto in OpenSSL 1.0.1-4ubuntu5.12)

    La versione del pacchetto per Debian/Ubuntu può essere verificata con l'aiuto del comando:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (vulnerabile OpenSSL 1.0.1e-16.el6_5.4, risolto in OpenSSL 1.0.1e-16.el6_5.7)
  • Fedora 18 (OpenSSL 1.0.1e-4 senza aggiornamento: Fedora 18 non è più supportato)
  • Fedora 19 (risolto in OpenSSL 1.0.1e-37.fc19.1)
  • Fedora 20 (risolto in OpenSSL 1.0.1e-37.fc20.1)
  • OpenSUSE 12.2 (vulnerabile OpenSSL 1.0.1c, risolto in OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (risolto in OpenSSL 1.0.1e-11.32.1)

    La versione del pacchetto per Redhat/CentOS e OpenSUSE può essere verificata con l'aiuto del comando:

    ~# rpm -q openssl
    

OpenSSL 0.97a e 0.98e (in RedHat/CentOS 5) non sono vulnerabili. Secondo RHSA-2014-0376, unicamente Redhat 6.5 presenta una versione vulnerabile di OpenSSL.

Debian Squeeze non è vulnerabile, secondo quanto stabilito nell'avviso di sicurezza di Debian DSA-2896.

Le altre release Ubuntu supportate non sono vulnerabili, secondo la notifica di sicurezza da Ubuntu USN-2165-1.

Fedora sta cambiando rapidamente e lo stato del problema è disponibile nell'articolo di Fedora Magazine.

Correzioni per OpenSUSE fornite nell'annuncio di sicurezza di OpenSUSE openSUSE-SU-2014:0492-1.

Risoluzione

Aggiornamento del nodo hardware

I produttori di sistemi operativi hanno pubblicato correzioni che sono state incorporate nella maggior parte di distribuzioni principali. È necessario applicare gli aggiornamenti di OpenSLL nel modo seguente:

  1. Server di hardware con PCS:

    ~# yum clean all; # yum update
    
  2. Server di hardware con PSBM: utilizzando lo strumento vzup2date

    • KB #113945 Installare aggiornamenti sul nodo Parallels Server Bare Metal 5
  3. Server di hardware con PVC:

    ~# yum clean all; # yum update
    
    • KB #1170 Come tenere aggiornata un'installazione PVC?

Nota: PSBM, PCS e PVC per Windows usano SSL unicamente per le comunicazioni interne con Dispatcher, fatto che riduce significativamente il rischio di compromesso ma tuttavia è fortemente consigliato applicare le correzioni per SSL, poiché potrebbe essere usato da altri servizi di terze parti.

È disponibile una versione ricostruita di Parallels Dispatcher con la più recente versione di OpenSSL:

  • KB #121002 Parallels Cloud Server 6.0 Update 5 Hotfix 11 (6.0.5-1811)
  • KB #121003 Parallels Server Bare Metal 5.0.0 Update 9 Hotfix 4 (5.0.0-1340)
  • KB #121129 Parallels Virtuozzo Containers per Windows 4.6 e Parallels Virtuozzo Containers per Windows 6.0

PVA Power Panel e PVA MN

Parallels Virtual Automation non utilizza la versione vulnerabile di OpenSSL e usa anche il sistema OpenSSL per i servizi basati sul web via Apache.

PVA Power Panel usa il server web Apache in esecuzione sull'host. È dunque necessario aggiornare OpenSSL e riavviare Apache sul nodo hardware:

~# service pemui restart

Il Nodo di Gestione di PVA utilizza Apache e OpenSSL del sistema in cui è installato. Aggiornare l'installazione secondo la sua tipologia e riavviare i servizi:

  • in un container:

    ~# vzctl update CTID
    
  • in una macchina virtuale o server fisico:

    ~# yum clean all; # yum update
    

Applicazione della correzione ai container

  1. Per i container esistenti:

    ~# vzpkg update CTID
    

    o un singolo pacchetto in particolare:

    ~# vzpkg install CTID -p openssl
    
  2. Deve essere creata la/le cache del modello del sistema operativo:

    ~# vzpkg update cache DISTR-VER-ARCH
    

Una volta applicato l'aggiornamento, tutti i servizi che dipendono da OpenSSL devono essere riavviati:

  • Riavviare il server SSH, OpenVPN, Apache.
  • Riavviare qualsiasi altro servizio in esecuzione sul sistema operativo host dipendente da OpenSSL.

Vedere anche

  • KB #121016 - articolo riassuntivo per tutti i prodotti Parallels

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article
Save as PDF