[Release notes] CVE-2014-0224 − Vulnerabilidad de seguridad en OpenSSL

Created:

2016-11-16 12:44:20 UTC

Modified:

2017-08-08 13:15:44 UTC

0

Was this article helpful?


Have more questions?

Enviar una solicitud

[Release notes] CVE-2014-0224 − Vulnerabilidad de seguridad en OpenSSL

Applicable to:

  • Plesk
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo containers for Linux 4.6
  • Virtuozzo containers for Windows 4.6
  • Virtuozzo hypervisor
  • Virtual Automation
  • Operations Automation 5.5
  • Operations Automation 5.4
  • Operations Automation 5.0
  • Plesk Automation 11.5

Información

El grupo OpenSSL ha emitido una alerta de vulnerabilidad con fecha del 5 de junio del 2014. Encontrará más información acerca de CVE-2014-0224 en el sitio web de OpenSSL.

La corrección proporcionada es válida para las versiones 0.9.8, 1.0.0 y 1.0.1:

  • Los usuarios de OpenSSL 0.9.8 SSL/TLS (cliente y/o servidor) deberían actualizar a la versión 0.9.8za.
  • Los usuarios de OpenSSL 1.0.0 SSL/TLS (cliente y/o servidor) deberían actualizar a la versión 1.0.0m.
  • Los usuarios de OpenSSL 1.0.1 SSL/TLS (cliente y/o servidor) deberían actualizar a la versión 1.0.1h.

Para Windows

Esta incidencia afecta a Parallels Containers para Windows que tenga instalado Parallels Dispatcher para la gestión de contenedores mediante PACI y pocos componentes se compilan con una versión vulnerable de OpenSSL. En el próximo hotfix se incluirá la versión actualizada de OpenSSL.

Para Linux

Dicha vulnerabilidad afecta a prácticamente todos los servicios − especialmente a aquellos basados en Apache − en sistemas que dependan de OpenSSL y en aquellos sistemas creados mediante una de las siguientes distribuciones:

  • Debian Wheezy (estable) (vulnerable OpenSSL 1.0.1e-2+deb7u7 y versiones anteriores , corregido en OpenSSL 1.0.1e-2+deb7u10 )
  • Ubuntu 14.04 LTS (vulnerable OpenSSL 1.0.1f-1ubuntu2.1 y versiones anteriores , corregido en OpenSSL 1.0.1f-1ubuntu2.2 )
  • Ubuntu 13.10 (vulnerable OpenSSL 1.0.1e-3ubuntu1.3 y versiones anteriores , corregido en OpenSSL 1.0.1e-3ubuntu1.4 )
  • Ubuntu 12.04 LTS (vulnerable OpenSSL 1.0.1-4ubuntu5.13 y versiones anteriores , corregido en OpenSSL 1.0.1-4ubuntu5.14 )

    La versión del paquete de Debian/Ubuntu puede comprobarse ejecutando el siguiente comando:

    ~# dpkg -l openssl
    
  • RedHat, CentOS, CloudLinux 6.5 (vulnerable OpenSSL 1.0.1e-16.el6_5.7 y versiones anteriores , corregido en OpenSSL 1.0.1e-16.el6_5.14 )
  • Fedora 19 (corregido en OpenSSL 1.0.1e-38.fc19 )
  • Fedora 20 (corregido en OpenSSL 1.0.1e-38.fc20 )

    Puede comprobarse la versión del paquete de Redhat/CentOS y Fedora ejecutando el siguiente comando:

    ~# rpm -q openssl
    

Actualización del nodo hardware

Los proveedores de los sistemas operativos han publicado correcciones para esta vulnerabilidad y estas han sido añadidas a todas las distribuciones principales. Las actualizaciones de OpenSSL deben aplicarse instalando la nueva versión del paquete openssl :

~# yum clean all; yum update openssl

Nota: PSBM, PCS y PVC para Windows sólo utilizan SSL para las comunicaciones internas con Dispatcher, lo que reduce de forma significativa el riesgo de impacto de esta vulnerabilidad. De todos modos es extremadamente recomendable aplicar las correcciones para SSL, ya que este puede ser usado por algunos otros servicios de terceros.

PVA Power Panel y nodo de administración de PVA

Parallels Virtual Automation utiliza una versión de OpenSSL que no es vulnerable, además de usar OpenSSL para servicios basados en web mediante Apache.

PVA Power Panel utiliza el servidor web Apache que se ejecuta en el host, por lo que es necesario actualizar OpenSSL y reiniciar Apache en el nodo hardware :

~# service httpd restart

El nodo de administración de PVA utiliza el Apache y el OpenSSL del sistema en el que se ha instalado, por lo que es necesario actualizar la instalación de acuerdo con su tipo y reiniciar los servicios:

  • En un contenedor:

    ~# vzctl update CTID
    
  • En una máquina virtual o servidor físico:

    ~# yum clean all; yum update
    

Aplicación de la corrección en contenedores

  1. En el caso de contenedores ya existentes:

    ~# vzpkg update CTID
    

    O de forma específica para un único paquete:

    ~# vzpkg install CTID -p openssl
    
  2. Vuelva a crear la(s) caché(s) de la plantilla del sistema operativo:

    ~# vzpkg update cache DISTR-VER-ARCH
    

Una vez se haya aplicado la actualización, deberían reiniciarse todos los servicios que dependen de OpenSSL:

  • Reinicie el servidor SSH, OpenVPN y Apache.
  • Reinicie cualquier otro servicio que se esté ejecutando en el sistema operativo host que depende de OpenSSL.
¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.