Viestintävirasto on varoittanut tänään 8.4.2014 vakavasta haavoittuvuudesta OpenSSL kirjastossa (CVE-2014-0160, ”Heartbleed Bug”):
https://www.cert.fi/varoitukset/2014/varoitus-2014-01.html
Kaikki webhotelli-, kotisivu- ja sähköpostipalvelut, ylläpidetyt palvelimet sekä Jelastic PaaS ympäristöt (eli kaikki muut paitsi VDS:t) päivitetään viipymättä korjattuun versioon ilman erillisiä asiakkaalta vaadittuja toimenpiteitä. Päivitykset voivat aiheuttaa lyhyitä katkoksia palveluissa.
Ongelma vaatii toimenpiteitä asiakkailtamme, joilla on käytössään Linux virtuaalipalvelin ilman ylläpitopalvelua, joillakin seuraavista käyttöjärjestelmistä:
- CentOS 6-sarjan versio 6.5 tai vanhempi, johon on asennettu OpenSSL 1.0.1-sarjan versio 1.0.1e-16.el6_5.4 tai vanhempi. Version voi tarkistaa ”rpm -q openssl” komennolla. Versiossa openssl-1.0.1e-16.el6_5.7 ongelma on korjattu. Oletusarvoinen OpenSSL-paketti on haavoittuvainen vain CentOS:n versiossa 6.5.
- Debian GNU/Linux 7 ”wheezy”
- Ubuntu 12.04 LTS
Tietoturvapäivityksen asentaminen virtuaalipalvelimille komentoriviltä, SSH-pääteyhteydellä pääkäyttäjän root tunnuksella:
CentOS 6.5 (mukaan lukien Jelastic VDS palvelimet):
yum -y updatereboot
Debian GNU/Linux 7 ja Ubuntu 12.04:
apt-get updateapt-get -y upgradereboot
Käyttöjärjestelmän version voi tarkistaa komentoriviltä esimerkiksi seuraavasti:
cat /etc/issue
HUOM! Päivitysten asentamisen jälkeen palvelin tulee ehdottomasti käynnistää uudelleen. Tämän voi tehdä myös hallintapaneelista. Varotoimenpiteenä suosittelemme palvelimen salasanojen vaihtamista ja SSL-sertifikaattien uusimista. Asiakaspalvelumme antaa tarvittaessa lisätietoja.