Article ID: 120990, created on Apr 10, 2014, last review on Sep 17, 2014

  • Applies to:
  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Информация

7 апреля 2014 г. было объявлено о серьезной уязвимости в OpenSSL. Подробную информацию об уязвимости CVE-2014-0160 можно посмотреть на сайте OpenSSL и на странице http://heartbleed.com/.

Эта уязвимость затрагивает почти все службы (особенно на базе Apache) в системах, использующих OpenSSL или созданных с помощью следующих дистрибутивов:

  • Debian Wheezy (стабильная версия) (уязвимость есть в OpenSSL 1.0.1e-2+deb7u4, устранена в OpenSSL 1.0.1e-2+deb7u5)
  • Ubuntu 12.04.4 LTS (уязвимость есть в OpenSSL 1.0.1-4ubuntu5.11, устранена в OpenSSL 1.0.1-4ubuntu5.12)

    Определить версию OpenSSL в Debian/Ubuntu можно с помощью следующей команды:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (уязвимость есть в OpenSSL 1.0.1e-16.el6_5.4, устранена в OpenSSL 1.0.1e-16.el6_5.7)
  • OpenSUSE 12.2 (уязвимость есть в OpenSSL OpenSSL 1.0.1c, устранена в OpenSSL 1.0.1e-1.44.1)
  • OpenSUSE 13.1 (уязвимость устранена в OpenSSL 1.0.1e-11.32.1)

    Определить версию OpenSSL в Redhat/CentOS и OpenSUSE можно с помощью следующей команды:

    ~# rpm -q openssl
    

В OpenSSL 0.97a и 0.98e (в RedHat/CentOS 5) уязвимость отсутствует. Согласно RHSA-2014-0376, уязвимая версия OpenSSL используется только в Redhat 6.5.

  • Дистрибутивы Parallels Plesk Panel (Plesk) для RedHat/CentOS/CloudLinux 5.x включают модифицированные сборки Apache/SNI и nginx с обновленными библиотеками OpenSSL (0.98y). Они не подвержены уязвимости.

В Debian Squeeze уязвимость отсутствует (согласно сообщению на сайте Debian ‒ DSA-2896).

Plesk не поддерживает Ubuntu 13.10 и 12.10, в которых используется обновленная версия OpenSSL. В прочих поддерживаемых версиях Ubuntu уязвимость отсутствует (согласно сообщению на сайте Ubuntu ‒ USN-2165-1).

Исправления для OpenSUSE предоставлены на сайте OpenSUSE ‒ openSUSE-SU-2014:0492-1.

Решение

Для устранения этой уязвимости производители операционных систем выпустили специальные исправления, которые вошли во все основные дистрибутивы. Вам нужно установить обновление OpenSSL средствами своей операционной системы. Например, в случае CentOS 6, RHEL6 и CloudLinux 6 это можно сделать с помощью следующих команд:

~# yum clean all; yum update

После обновления OpenSSL рекомендуем перезагрузить операционную систему.

Если по какой-то причине перезагрузка нежелательна, перезапустите все службы, зависящие от OpenSSL:

  • веб-сервер (Apache или NGINX);
  • Plesk:

    ~# service psa restart
    
  • службу WPB sw-engine:

    ~#/etc/init.d/sw-engine restart
    
  • почту (службы IMAP/POP3/SMPT: Qmail/CourierIMAP/Postfix/Sendmail и т.д.);
  • базы данных (MySQL/PostgreSQL);
  • прочие службы, использующие SSL и авторизацию. Если вы не уверены, использует ли та или иная служба SSL, рекомендуем все равно ее перезапустить.

Изменение паролей

После обновления настоятельно рекомендуем сменить пароли администраторов.

Отзыв SSL-сертификатов

Мы рекомендуем всем клиентам отозвать и перевыпустить SSL-сертификаты.

Дополнительная проверка

После обновления проверьте все публичные конечные HTTPS-точки сервера с помощью сервиса SSLLabs: https://www.ssllabs.com/ssltest/

В результатах проверки должна присутствовать похожая строка: This server is not vulnerable to the Heartbleed attack. (Experimental)

Также смотрите

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 9305481d3bd31663b68451e3bfdec5a5 18f5eb2d7a7972323627b40f015d5a19

Email subscription for changes to this article
Save as PDF