Article ID: 120990, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Informazione

Il gruppo OpenSSL ha pubblicato un avviso di vulnerabilità il 7 aprile 2014. Maggiori informazioni su CVE-2014-0160 sono disponibili sul sito web OpenSSL e su http://heartbleed.com/.

Pressoché tutti i servizi sono affetti dal problema (sopratutto quelli basati su Apache) in un sistema che dipende da OpenSSL e quelli creati mediante una delle seguenti distribuzioni:

  • Debian Wheezy (stable) (vulnerabile OpenSSL 1.0.1e-2+deb7u4, risolto in OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 12.04.4 LTS (vulnerabile OpenSSL 1.0.1-4ubuntu5.11, risolto in OpenSSL 1.0.1-4ubuntu5.12)

    La versione del pacchetto per Debian/Ubuntu può essere verificata con l'aiuto del comando:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (vulnerabile OpenSSL 1.0.1e-16.el6_5.4, risolto in OpenSSL 1.0.1e-16.el6_5.7)
  • OpenSUSE 12.2 (vulnerabile OpenSSL 1.0.1c, risolto in OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (risolto in OpenSSL 1.0.1e-11.32.1)

    La versione del pacchetto per Redhat/CentOS e OpenSUSE può essere verificata con l'aiuto del comando:

    ~# rpm -q openssl
    

OpenSSL 0.97a e 0.98e (in RedHat/CentOS 5) non sono vulnerabili. Secondo RHSA-2014-0376, unicamente Redhat 6.5 presenta una versione vulnerabile di OpenSSL.

  • Su RedHat/CentOS/CloudLinux 5.x, Parallels Plesk Panel è incluso nelle build personalizzate di Apache/SNI e Nginx compilate con le librerie aggiornate di OpenSSL (0.98y), neanch'esse vulnerabili.

Debian Squeeze non è vulnerabile, secondo quanto stabilito nell'avviso di sicurezza di Debian DSA-2896.

Plesk non supporta Ubuntu 13.10 né 12.10, che presenta una versione aggiornata di OpenSSL. Le altre release Ubuntu supportate non sono vulnerabili, secondo la notifica di sicurezza da Ubuntu USN-2165-1.

Correzioni per OpenSUSE fornite nell'annuncio di sicurezza di OpenSUSE openSUSE-SU-2014:0492-1.

Risoluzione

I produttori di sistemi operativi hanno pubblicato correzioni che sono state incorporate nella maggior parte di distribuzioni principali. È necessario installare l'aggiornamento di OpenSSL mediante la procedura di aggiornamento del sistema operativo. A modo di esempio, per CentOS 6, RHEL6 e CloudLinux 6, è possibile farlo con l'aiuto dei seguenti comandi:

~# yum clean all; # yum update

Una volta installato l'aggiornamento di OpenSSL, si consiglia di riavviare il sistema operativo.

Se non si desidera eseguire il riavvio per qualche motivo, allora si consiglia di riavviare tutti i servizi che dipendono da OpenSSL.

  • Server Web (Apache o NGINX),
  • Servizio psa Plesk:

    ~# service psa restart
    
  • WPB sw-engine service:

    ~# /etc/init.d/mysqld restart
    
  • Posta (servizi IMAP/POP3/SMTP come Qmail/CourierIMAP/Postfix/Sendmail),
  • Database (MySQL/PostgreSQL)
  • Qualunque altro servizio che dipenda da SSL e dall'autorizzazione. Se non si è sicuri se un servizio dipende su SSL, si consiglia di riavviarlo.

Cambio delle password

Si consiglia fortemente di cambiare le password per lo staff amministrativo dopo il completamento dell'aggiornamento.

Revoche del certificato SSL

Invitiamo tutti i clienti a revocare ed emettere nuovamente i certificati SSL. La procedura di revoca e reinstallazione di certificati SSL è fuori dal campo di applicazione del presente documento.

Ulteriori verifiche

Dopo l'aggiornamento, si prega inoltre di controllare tutti gli endpoint HTTPS pubblici del server mediante il servizio SSLLabs: https://www.ssllabs.com/ssltest/

L'output del test dovrebbe includere una riga simile alla seguente: This server is not vulnerable to the Heartbleed attack. (Experimental)

Vedere anche

  • KB #121016 - articolo riassuntivo per tutti i prodotti Parallels

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article
Save as PDF