Article ID: 120989, created on Apr 10, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

情報

2014 年 4 月 7 日、OpenSSL グループが脆弱性アラートを発信しました。この脆弱性 CVE-2014-0160 についての詳細は、Open SSL のウェブサイトおよび http://heartbleed.com/ にてご確認ください。

Windows 版

Parallels Containers for Windows は、PACI によるコンテナの管理用に Parallels Dispatcher によってインストールされている可能性があり、いくつかのコンポーネントが脆弱性のある OpenSSL バージョンでコンパイルされています。

Linux 版

この脆弱性は、システム内の OpenSSL に依存するほとんどのサービス(特に Apache ベースのもの)や、以下のいずれかのディストリビューションを使用して作成されたシステムに影響を与えます。

  • Debian Wheezy(stable)(脆弱性のあるバージョン OpenSSL 1.0.1e-2+deb7u4、修正済みバージョン OpenSSL 1.0.1e-2+deb7u5
  • Ubuntu 13.10(脆弱性のあるバージョン OpenSSL 1.0.1e-3ubuntu1.1、修正済みバージョン OpenSSL 1.0.1e-3ubuntu1.2
  • Ubuntu 12.10(脆弱性のあるバージョン OpenSSL 1.0.1c-3ubuntu2.6、修正済みバージョン OpenSSL 1.0.1c-3ubuntu2.7
  • Ubuntu 12.04.4 LTS(脆弱性のあるバージョン OpenSSL 1.0.1-4ubuntu5.11、修正済みバージョン OpenSSL 1.0.1-4ubuntu5.12

    Debian/Ubuntu のパッケージバージョンは、次のコマンドを使用して確認することができます。

    ~# dpkg -l openssl
    
  • RedHat、CentOS、CloudLinux 6.5(脆弱性のあるバージョン OpenSSL 1.0.1e-16.el6_5.4、修正済みバージョン OpenSSL 1.0.1e-16.el6_5.7
  • Fedora 18(OpenSSL 1.0.1e-4 更新なし:Fedora 18 はサポート終了済
  • Fedora 19(修正済みバージョン OpenSSL 1.0.1e-37.fc19.1
  • Fedora 20(修正済みバージョン OpenSSL 1.0.1e-37.fc20.1
  • OpenSUSE 12.2(脆弱性のあるバージョン OpenSSL 1.0.1c、修正済みバージョン OpenSSL 1.0.1e-1.44.1
  • OpenSUSE 13.1(修正済みバージョン OpenSSL 1.0.1e-11.32.1

    Redhat/CentOS および OpenSUSE のパッケージバージョンは、次のコマンドを使用して確認することができます。

    ~# rpm -q openssl
    

OpenSSL 0.97a および 0.98e(RedHat/CentOS 5)にはこの脆弱性がありません。RHSA-2014-0376 によると、脆弱性のある OpenSSL が含まれるのは Redhat 6.5 のみです。

Debian Security Advisory DSA-2896 によると、Debian Squeeze には脆弱性がありません。

Ubuntu Security Notice USN-2165-1 によると、他のサポート対象 Ubuntu リリースには脆弱性がありません。

Fedora は変化が速く、この問題に対する対応状況は the Fedora Magazine article にて更新されています。

OpenSUSE の修正版は、OpenSUSE Security Announcement openSUSE-SU-2014:0492-1 にて公開されています。

解決策

ハードウェアノードの更新

OS ベンダーが修正を発行しており、すべてのディストリビューションに組み込まれています。以下の手順に従って、OpenSSL アップデートを適用する必要があります。

  1. PCS をインストールしたハードウェアサーバ:

    ~# yum clean all; yum update openssl
    
  2. PSBM をインストールしたハードウェアサーバ:vzup2date ツールを使用

    • KB #113945 Installing updates on Parallels Server Bare Metal 5 node
  3. PVC をインストールしたハードウェアサーバ:

    ~# yum clean all; yum update openssl
    
    • KB #1170 How do I keep a PVC installation up-to-date?

注意:PSBM、PCS、および PVC for Windows では、Dispatcher との内部通信のみに SSL を使用しています。このため、情報漏えいのリスクが大幅に低減していますが、他のサードパーティサービスで使用されている可能性もあるため、SSL に対する修正を適用することを推奨します。

新バージョンの OpenSSL を搭載した Parallels Dispatcher のリビルドバージョンは、以下の場所から入手することができます。

  • KB #121002 Parallels Cloud Server 6.0 Update 5 Hotfix 11 (6.0.5-1811)
  • KB #121003 Parallels Cloud Server 5.0 Update 9 Hotfix 4 (5.0.0-1340)
  • KB #121129 Parallels Virtuozzo Containers for Windows 4.6 および Parallels Virtuozzo Containers for Windows 6.0

PVA Power Panel および PVA MN

Parallels Virtual Automation では、脆弱性のないバージョンの OpenSSL を使用しており、また、ウェブベースのサービスのためにシステム OpenSSL を Apache 経由で使用しています。

PVA Power Panel では、ホスト上で機能する Apache ウェブサーバを使用しており、OpenSSL の更新およびハードウェアノードでの Apache の再起動が必要になります。

~# service httpd restart

PVA 管理ノードでは、インストール先システムの Apache および OpenSSL を使用しており、タイプに応じたインストールの更新とサービスの再起動が必要になります。

  • コンテナ内:

    ~# vzctl update CTID
    
  • 仮想マシン内または物理サーバ上:

    ~# yum clean all; yum update
    

コンテナに修正を適用する

  1. 既存のコンテナの場合:

    ~# vzpkg update CTID
    

    または、1 つのパッケージのみの場合:

    ~# vzpkg install CTID -p openssl
    
  2. OS テンプレートキャッシュを再作成する必要があります。

    ~# vzpkg update cache DISTR-VER-ARCH
    

アップデートを適用後、OpenSSL に依存するすべてのサービスを再起動します。

  • SSH サーバ、OpenVPN、Apache を再起動します。
  • OpenSSL に依存するホスト OS 上で機能する他のすべてのサービスを再起動します。

以下も参照してください。

  • KB #121016 - 全 Parallels 製品についての統括記事

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article