La faille de sécurité Heartbleed est une des failles les plus importantes trouvées depuis longtemps
Si vous avez un doute : https://www.google.fr/?gfe_rd=cr&ei=xBtYU4TDMpCB8QeY34CIDA#q=heartbleed 50 Millions de réponses 🙂
La mise à jour des serveurs utilisant Openssl est largement conseillée, nous allons faire un point sur les machines potentiellement touchées chez OVH. Mise à jour pour les machines sous Centos + Plesk : Le guide chez plesk pour Centos : http://kb.parallels.com/fr/120990 Pour les serveurs sous release 3 : Le tutoriel Ovh est par ici : http://guide.ovh.com/CVE20140160Release3 Attention il a été corrigé le 23/04/2014. En effet, les variables contenues dans le fichier caché : ./root/.ovhrc n’étaient pas prise en compte, du coup la machine ne redémarrait pas apache (embêtant pour un serveur web). Le contenu du fichier ressemble à : (# vi .ovhrc). Au fait pour voir les fichiers cachés (# ls -la) DATACENTER= »RBX3″ COUNTRY= »France » TIMEZONE= »Europe/Paris » DISTRIB=centos6-ovh_64 DNS_IPV6=XXXXXXXXXXX DNS_IP=AAA.ZZZ.YYY.XXX DNS_HOSTNAME=sdns2.ovh.net Si vous ratez cette ligne vous pouvez toujours remplir les données à la main. (Rappel : sans certificat, Apache ne redémarrera pas). Pour le faire manuellement, il suffit de taper directement avec cette :
- /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes
- Et de répondre aux questions correctement (en plus votre certificat sera plus complet)
La liste de questions, là voila rien de bien compliqué :
[root@nsXXXX ~]# /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes Generating a 4096 bit RSA private key ……………………………………….++ ………………………………………………++ writing new private key to ‘/etc/pki/tls/private/localhost.key’ —– You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‘.’, the field will be left blank. —– Country Name (2 letter code) [XX]:FR State or Province Name (full name) []:France Locality Name (eg, city) [Default City]:Votreville Organization Name (eg, company) [Default Company Ltd]:masociete Organizational Unit Name (eg, section) []:monorganisation Common Name (eg, your name or your server’s hostname) []:nsXXXX.ovh.net Email Address []:contact@monmail.com
Sinon vous poursuivez le guide automatique
- echo -e « –\n${COUNTRY}\n${DATACENTER}\nOVH\n–\n${HOSTNAME}\nroot@${HOSTNAME} » | /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes
- cat /etc/pki/tls/certs/localhost.crt > /etc/pki/dovecot/certs/localhost.pem
- cat /etc/pki/tls/private/localhost.key > /etc/pki/dovecot/private/localhost.pem
Test du serveur : Pour les tests vous pouvez utiliser ce site : https://www.ssllabs.com/ssltest/ D’autres liens utiles sur heartbleed :
http://forum.parallels.com/showthread.php?301069-Plesk-and-the-heartbleed-bug-security-vulnerability
http://tscadfx.com/update-plesk-heartbleed-bug/
http://forum.online.net/index.php?/topic/4338-mettre-a-jour-openssl-suite-%C3%A0-faille-heartbleed-sous-plesk-115-sur-ubuntu-1204-lts/
http://www.openssl.org/docs/apps/version.html
http://kb.parallels.com/fr/120990
https://www.ssllabs.com/ssltest/analyze.html?d=mail.eoxia.com
http://guide.ovh.com/CVE20140160Release3