CVE-2014-0160: Sicherheitslücke in OpenSSL 1.0.1

Created:

2016-11-16 13:05:06 UTC

Modified:

2017-08-16 17:29:31 UTC

1

Was this article helpful?


Have more questions?

Anfrage einreichen

CVE-2014-0160: Sicherheitslücke in OpenSSL 1.0.1

Applicable to:

  • Web Presence Builder 11.5
  • Plesk for Linux/Unix

Information

Die OpenSSL Group hat am 07. April 2014 eine Warnmeldung zu einer Sicherheitslücke herausgegeben. Sie finden nähere Informationen über CVE-2014-0160 auf der Open SSL-Website und unter http://heartbleed.com/ .

Betroffen sind fast alle Dienste (insbesondere Apache-basierte Dienste) in einem System, das sich auf OpenSSL stützt und jene Systeme, die über eine der folgenden Distributionen erstellt wurden:

  • Debian Wheezy (stabile Version) (Schwachstelle in OpenSSL 1.0.1e-2+deb7u4 , behoben in OpenSSL 1.0.1e-2+deb7u5 )
  • Ubuntu 12.04.4 LTS (Schwachstelle in OpenSSL 1.0.1-4ubuntu5.11 , behoben in OpenSSL 1.0.1-4ubuntu5.12 )

    Die Version Ihres Debian/Ubuntu-Softwarepakets kann über diesen Befehl überprüft werden:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (Schwachstelle in OpenSSL 1.0.1e-16.el6_5.4 , behoben in OpenSSL 1.0.1e-16.el6_5.7 )
  • OpenSUSE 12.2 (Schwachstelle in OpenSSL 1.0.1c , behoben in OpenSSL 1.0.1e-1.44.1 )
  • OpenSUSE 13.1 (behoben in OpenSSL 1.0.1e-11.32.1 )

    Die Versionen Ihrer Redhat/CentOS- und OpenSUSE-Softwarepakete kann über folgenden Befehl überprüft werden:

    ~# rpm -q openssl
    

Nicht von der Sicherheitslücke betroffen sind OpenSSL 0.97a und 0.98e (in RedHat/CentOS 5). Laut RHSA-2014-0376 hat nur RedHat 6.5 eine anfällige Version von OpenSSL.

  • Unter RedHat/CentOS/CloudLinux 5.x wird Parallels Plesk mit benutzerdefinierten Builds von Apache/SNI und Nginx ausgeliefert. Diese werden mit aktualisierten OpenSSL-Bibliotheken (0.98y) kompiliert. Diese sind nicht anfällig.

Debian Squeeze ist laut Angaben im Debian-Sicherheitshinweis DSA-2896 nicht anfällig.

Plesk unterstützt kein Ubuntu 13.10 und 12.10, das mit einer aktualisierten Version von OpenSSL ausgestattet ist. Andere unterstützte Ubuntu Releases sind laut Ubuntu Sicherheitshinweis USN-2165-1 nicht anfällig.

Patches für OpenSUSE werden im OpenSUSE Sicherheitshinweis openSUSE-SU-2014:0492-1 genannt.

Lösung

Die Anbieter der Betriebssysteme haben Patches veröffentlicht, die in allen wichtigen Distributionen integriert wurden. Sie müssen das OpenSSL-Update über den Update-Prozess Ihres Betriebssystems installieren.

Zum Beispiel kann dies unter CentOS 6, RHEL6 und CloudLinux 6 mithilfe des folgenden Befehls durchgeführt werden:

~# yum clean all; yum update

Nach der erfolgreichen Installation des OpenSSL-Updates empfehlen wir einen Neustart Ihres Betriebssystems.

Falls ein Neustart aus irgendeinem Grund nicht in Frage kommt, sollten Sie alle von OpenSSL abhängigen Dienste neu starten:

  • Webserver (Apache oder NGINX)
  • Plesk Dienst psa :

    ~# service psa restart
    
  • WPB-Dienst sw-engine :

    ~#/etc/init.d/sw-engine restart
    
  • E-Mail (IMAP/POP3/SMTP-Dienste wie Qmail/CourierIMAP/Postfix/Sendmail)
  • Datenbanken (MySQL/PostgreSQL)
  • Alle anderen Dienste, die auf SSL und Autorisierung angewiesen sind. Falls Sie sich nicht sicher sind, ob ein Dienst von SSL abhängig ist, empfehlen wir, ihn dennoch neu zu starten.

Passwortänderungen

Es ist unbedingt zu empfehlen, die Passwörter für alle Administratoren nach Abschluss des Updates zu ändern.

Widerrufen von SSL-Zertifikaten

Wir raten allen Kunden dazu, SSL-Zertifikate zu widerrufen und neu ausstellen zu lassen. Eine Beschreibung des Vorgehens zum Widerrufen und zur Neuinstallation von SSL-Zertifikaten gehört nicht zum Umfang dieses Dokumentes.

Zusätzliche Überprüfung

Überprüfen Sie nach dem Aktualisieren von OpenSSL bitte alle öffentlichen HTTPS-Endpunkte des Servers mithilfe des SSLLabs-Dienstes: https://www.ssllabs.com/ssltest/

In der Ausgabe des Tests muss in etwa folgende Zeile enthalten sein: This server is not vulnerable to the Heartbleed attack . (Experimental)

Siehe auch

  • KB 121016 - Zusammenfassender Artikel für alle Parallels Produkte
Haben Sie Fragen? Anfrage einreichen
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.