Article ID: 120989, created on Apr 11, 2014, last review on Sep 17, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation

Информация

7 апреля 2014 г. было объявлено о серьезной уязвимости в OpenSSL. Подробную информацию об уязвимости CVE-2014-0160 можно посмотреть на сайте OpenSSL и на странице http://heartbleed.com/.

Для Windows

Parallels Containers для Windows может быть установлен с диспетчером Parallels для управления контейнерами PACI, и некоторые компоненты скомпилированы с уязвимой версией OpenSSL.

Для Linux

Эта уязвимость затрагивает почти все службы (особенно на базе Apache) в системах, использующих OpenSSL или созданных с помощью следующих дистрибутивов:

  • Debian Wheezy (стабильная версия) (уязвимость есть в OpenSSL 1.0.1e-2+deb7u4, устранена в OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 13.10 (уязвимость есть в OpenSSL 1.0.1e-3ubuntu1.1, устранена в OpenSSL 1.0.1e-3ubuntu1.2)
  • Ubuntu 12.10 (уязвимость есть в OpenSSL 1.0.1c-3ubuntu2.6, устранена в OpenSSL 1.0.1c-3ubuntu2.7)
  • Ubuntu 12.04.4 LTS (уязвимость есть в OpenSSL 1.0.1-4ubuntu5.11, устранена в OpenSSL 1.0.1-4ubuntu5.12)

    Определить версию OpenSSL в Debian/Ubuntu можно с помощью следующей команды:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (уязвимость есть в OpenSSL 1.0.1e-16.el6_5.4, устранена в OpenSSL 1.0.1e-16.el6_5.7)
  • Fedora 18 (OpenSSL 1.0.1e-4 без обновления: Fedora 18 больше не поддерживается)
  • Fedora 19 (уязвимость устранена в OpenSSL 1.0.1e-37.fc19.1)
  • Fedora 20 (уязвимость устранена в OpenSSL 1.0.1e-37.fc20.1)
  • OpenSUSE 12.2 (уязвимость есть в OpenSSL OpenSSL 1.0.1c, устранена в OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (уязвимость устранена в OpenSSL 1.0.1e-11.32.1)

    Определить версию OpenSSL в Redhat/CentOS и OpenSUSE можно с помощью следующей команды:

    ~# rpm -q openssl
    

В OpenSSL 0.97a и 0.98e (в RedHat/CentOS 5) уязвимость отсутствует. Согласно RHSA-2014-0376, уязвимая версия OpenSSL используется только в Redhat 6.5.

В Debian Squeeze уязвимость отсутствует (согласно сообщению на сайте Debian ‒ DSA-2896).

В прочих поддерживаемых версиях Ubuntu уязвимость отсутствует (согласно сообщению на сайте Ubuntu ‒ USN-2165-1).

Соответствующие обновления безопасности для Fedora:

Исправления для OpenSUSE предоставлены на сайте OpenSUSE ‒ openSUSE-SU-2014:0492-1.

Решение

Обновление физического сервера

Для устранения этой уязвимости производители операционных систем выпустили специальные исправления, которые вошли во все основные дистрибутивы. Вам нужно обновить OpenSLL следующим образом:

  1. Физические серверы с PCS:

    ~# yum clean all; yum update openssl
    
  2. Физические серверы с PSBM: с помощью инструмента vzup2date

    • См. статью 113945 Установка обновлений на сервере Parallels Server Bare Metal 5
  3. Физические серверы с PVC:

    ~# yum clean all; yum update openssl
    
    • См. статью 170 Как поддерживать актуальное состояние Virtuozzo?

Примечание. PSBM, PCS и PVC для Windows используют SSL только для внутренних коммуникаций с диспетчером ‒ это значительно сокращает риск утечки данных, но мы все равно настоятельно рекомендуем применить исправления для SSL, так как он может использоваться какими-то другими сторонними службами.

Доступен обновленный диспетчер Parallels с новой версией OpenSSL:

  • 121002 Parallels Cloud Server 6.0, обновление 5, исправление 11 (6.0.5-1811)
  • 121003 Parallels Server Bare Metal 5.0.0, обновление 9, исправление 4 (5.0.0-1340)
  • 121129 Parallels Virtuozzo Containers для 4.6 Windows и Parallels Virtuozzo Containers 6.0 для Windows

PVA Power Panel и сервер управления PVA

Parallels Virtual Automation использует не уязвимую версию OpenSSL, а также использует системный OpenSSL для веб-служб через Apache.

PVA Power Panel использует веб-сервер Apache, установленный на физическом сервере, поэтому вам нужно обновить OpenSSL и перезапустить Apache на физическом сервере:

~# service httpd restart

Сервер управления PVA использует Apache и OpenSSL операционной системы ‒ обновите текущую ОС и перезапустите службы:

  • В контейнере:

    ~# vzctl update CTID
    
  • В виртуальной машине или на физическом сервере:

    ~# yum clean all; yum update
    

Установка исправления на контейнерах

  1. Для существующих контейнеров:

    ~# vzpkg update CTID
    

    или конкретно для одного пакета:

    ~# vzpkg install CTID -p openssl
    
  2. Пересоздайте кэш шаблона операционной системы:

    ~# vzpkg update cache DISTR-VER-ARCH
    

После обновления нужно перезапустить все службы, использующие OpenSSL:

  • перезапустите сервер SSH, OpenVPN, Apache;
  • перезапустите любые другие службы в операционной системе физического сервера, использующие OpenSSL.

Также смотрите

2897d76d56d2010f4e3a28f864d69223 a26b38f94253cdfbf1028d72cf3a498b 0dd5b9380c7d4884d77587f3eb0fa8ef e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 319940068c5fa20655215d590b7be29b 6c20476fe6c3408461ce38cbcab6d03b 965b49118115a610e93635d21c5694a8

Email subscription for changes to this article
Save as PDF