EILIG: LiveConfig v1.7.2 verfügbar / Sicherheitslücke in OpenSSL 1.0.1

  • Ab sofort steht LiveConfig v1.7.2 (r2824) zum Download bereit.


    Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
    Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).


    Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren.


    Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte (/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.


    Hintergrundinformation zu dem OpenSSL-Fehler:
    Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
    Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
    Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).


    Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.


    Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
    Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

  • Kurzer Nachtrag: v1.7.2-r2825 wurde eben bereitgestellt. Bei r2824 kam es bei manchen Servern während dem Upgrade zu einem Fehler (im LiveConfig-Log erschien dann die Meldung "LC.liveconfig.updateSysconfig() failed ...").
    Wer bereits r2824 eingespielt hatte, sollte am besten das Update auf 2825 auch noch durchführen.

  • Danke für die schnelle Reaktion. Seit dem neuen Update kommt es jedoch ständig zu Verbindungsabbrüchen (Internal Server Error), die es vorher NIE gab:


    Quote

    [Wed Apr 09 09:26:20 2014] [warn] [client] mod_fcgid: read data timeout in 60 seconds, referer:
    [Wed Apr 09 09:26:20 2014] [warn] [client] (110)Connection timed out: mod_fcgid: ap_pass_brigade failed in handle_request_ipc function, referer:


    Kann jemand etwas dazu sagen?

  • Ich will die "Schuld" ja auch nicht auf LiveConfig schieben ;)
    Dennoch ist das merkwürdig, weil vor dem Update alles noch rund lief.


    Die Datei /etc/apache2/mods-available/fcgid.conf hatte ich in der Vergangenheit bereits wie folgt angepasst, es gab seit dem nie Fehler...


    <IfModule mod_fcgid.c>
    FcgidConnectTimeout 20
    FcgidBusyTimeout 3600
    FcgidIOTimeout 600
    FcgidMaxRequestLen 314572800
    </IfModule>

  • Update hat alles geklappt. Momentan bin ich dabei die SSL Zertifikate welche eventuell betroffen sind auszutauschen und stelle hier leider wieder fest das hier das aktualisieren nicht klappt. Erst wenn in Liveconfig eine Domain angefasst wird, wird auch das neue Zertifikat geschrieben. Nur das Zertifikat tauschen reicht leider immer noch nicht.
    Dies scheint auch die Dienste wie Postfix oder Dovecot zu betreffen.

  • Hier ist ein kleiner Workaround, um den Massen-Austausch von Zertifikaten etwas zu vereinfachen:


    Mit folgendem SQL-Befehl (in der LiveConfig-Datenbank) kann man sich alle Verträge anzeigen lassen, in welchen SSL erlaubt ist:

    SQL
    SELECT HC_NAME
    FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID)
    WHERE HC_SSL > 0 OR HP_SSL > 0


    Mit folgendem SQL werden all diese Verträge "markiert", so dass diese beim nächsten Neustart von LiveConfig automatisch neu konfiguriert werden (soll heißen: die vHost-Konfigurationen dieser Verträge werden neu geschrieben):


    SQL
    UPDATE HOSTINGCONTRACTS SET HC_REFRESHCFG=2824
    WHERE HC_ID IN (
      SELECT HC_ID FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID) WHERE HC_SSL > 0 OR HP_SSL > 0
    )


    Anschließend muss LiveConfig neu gestartet werden; nach wenigen Sekunden sind die entsprechenden vHost-Configs aktualisiert. Bei Multi-Server-Installationen reicht ein Neustart des LiveConfig-Servers (man muss also nicht alle lcclients neu starten).


    Mit dem nächsten Update wird es einfacher, ein aktualisiertes Zertifikat auch zu übernehmen (sowohl für mit SSL konfigurierte Dienste als auch in Hostingverträgen).


    Viele Grüße & ein schönes Wochenende


    -Klaus Keppler

  • Update hat alles geklappt. Momentan bin ich dabei die SSL Zertifikate welche eventuell betroffen sind auszutauschen und stelle hier leider wieder fest das hier das aktualisieren nicht klappt. Erst wenn in Liveconfig eine Domain angefasst wird, wird auch das neue Zertifikat geschrieben. Nur das Zertifikat tauschen reicht leider immer noch nicht.
    Dies scheint auch die Dienste wie Postfix oder Dovecot zu betreffen.


    http://www.liveconfig.com/de/f…tsaktualisierung-gt-vHost


    :o:):D

  • Hallöchen,


    Habe gestern Live Config im Rahmen eines Serverupdates auf 1.7.2.-r2825 erneuert.


    Ich kann sehen das einige Neuerungen hinzukamen die aber überwiegend nicht genutzt werden können.


    1. Servereinstellungen, da kann ich nur die email - Einstellungen vornehmen. Alles andere ist nicht vorhanden.


    2. Bei Verträgen muss der Vertrag einem Webserver zugeordnet werden ansonsten kann der Vertrag nicht gespeichert werden. Bei mir wird kein Webserver mehr angezeigt daher kann auch kein Vertrag mehr gespeichert bzw. erstellt werden.


    3. Emailpostfächer können nicht mehr über oberfläche angesteuert werden, da der Link zu den Postfächern bzw. der Oberfläche nicht mehr vorhanden ist.


    Also bei mir hats einiges zerschossen. Was kann ich nun machen, damit Live Config wieder rund läuft?


    Vielen Dank für Eure Hilfe


    Gruß Paul

  • Also bei mir hats einiges zerschossen. Was kann ich nun machen, damit Live Config wieder rund läuft?


    Das Problem ist meistens, dass wenn LiveConfig zusammen mit vielen anderen Paketen aktualisiert wird, LiveConfig zu einem "ungünstigen" Zeitpunkt neu gestartet wird während die anderen Pakete (Postfix, Dovecot usw.) gerade aktualisiert und somit nicht durch LiveConfig erkannt werden.


    Starten Sie LiveConfig einfach noch mal neu, dann sollten wieder alle Dienste da sein.

  • Hallöchen,


    Also Live Config lief. Habe dann das ganze Handbuch durchforstet und jeden Punkt abgearbeitet und bin dann auf den Punkt mit der Lizenznummer gestoßen. Und hier lag der Fehler. Das Update hat die alte Lizenznummer nicht mehr anerkannt. Lizennummer wurde dann erneuert und jetzt läuft LC wieder rund.


    Vielen Dank für die Hilfe
    Gruß Paul

  • Habe dann das ganze Handbuch durchforstet und jeden Punkt abgearbeitet und bin dann auf den Punkt mit der Lizenznummer gestoßen. Und hier lag der Fehler. Das Update hat die alte Lizenznummer nicht mehr anerkannt.


    Das hat mit dem Update nichts zu tun. U.a. beim Neustart von LiveConfig wird geprüft, ob die vorliegende Lizenz (/etc/liveconfig/liveconfig.key) noch gültig ist, falls nicht wird diese automatisch verlängert.

  • Huhu und schöne "Rest-Ostern" wünsche ich.



    An sich hatte ich mir vorgenommen, ned zu meggern oder mich über LC zu beschweren.
    Allerdings habe ich seit dem Update auf 1.7.2.-r2825 Probleme mit dem MYSQL-Server.
    (Debian Squeeze auf aktuellem Stand)
    Server / LC mehrfach neu gestartet - trotzdem werden einige Datenbanken als koruppt bezeichnet und ich kann auch mittels phpmyadmin nicht darauf zugreifen.
    MYSQLCHECK bringt MYSQLD zum Absturz - mal da und mal dort... kann also keine genaue Ursache (auch nicht in den LOG´s) ausmachen.


    Kann das jemand nachvollziehen/bestätigen und hat vielleicht einen Lösungsansatz?

  • An sich hatte ich mir vorgenommen, ned zu meggern oder mich über LC zu beschweren.
    Allerdings habe ich seit dem Update auf 1.7.2.-r2825 Probleme mit dem MYSQL-Server.


    Tut mir leid, aber LiveConfig hat mit MySQL rein gar nichts zu tun - zum Verwalten von Datenbanken meldet sich LiveConfig nur wie ein ganz normaler Client an MySQL an.


    Quote

    Server / LC mehrfach neu gestartet - trotzdem werden einige Datenbanken als koruppt bezeichnet


    Häufigste Ursache für korrupte Datenbanken ist das unkontrollierte Herunterfahren ("Reset") eines Servers - gab es vielleicht irgendwann einen unerwarteten Neustart?


    Wenn "normale" ISAM-Tabellen korrupt sind, können die z.B. mit dem Tool "myisamcheck" repapiert werden, oder noch viel einfacher direkt über die MySQL-root-Konsole:

    Code
    mysql -u root -p
    (Passwort eingeben)
    USE DATABASE web123db45;
    REPAIR TABLE korrupte_tabelle;
  • Hallo Herr Keppler,


    vielen Dank für die schnelle Antwort am Feiertag.


    Mittlerweile habe ich das Problem gefunden - eine Datenbank ( InnoDB ) zickt rum und lässt sich auch
    nicht reparieren. Also werde ich diese löschen und mit nem Backup wiederherstellen.
    Muss ein Zufall gewesen sein, dass dieser Fehler ab dem Zeitpunkt auftrat, als ich das Update von LC durchgeführt hab.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!