EILIG: LiveConfig v1.7.2 verfügbar / Sicherheitslücke in OpenSSL 1.0.1

Ab sofort steht LiveConfig v1.7.2 (r2824) zum Download bereit.

Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).

Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren.

Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte (/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.

Hintergrundinformation zu dem OpenSSL-Fehler:
Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).

Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.

Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Kurzer Nachtrag: v1.7.2-r2825 wurde eben bereitgestellt. Bei r2824 kam es bei manchen Servern während dem Upgrade zu einem Fehler (im LiveConfig-Log erschien dann die Meldung "LC.liveconfig.updateSysconfig() failed ...").
Wer bereits r2824 eingespielt hatte, sollte am besten das Update auf 2825 auch noch durchführen.

Das hat nichts mit LiveConfig zu tun, sondern ausschließlich mit Apache/mod_fcgid.

http://lmgtfy.com/?q=mod_fcgid…ndle_request_ipc+function

Diese Frage kann ich Ihnen leider nicht beantworten - aber wenn Sie LiveConfig aktualisieren, hat das absolut keinen Einfluss auf Apache. Es wird nichts an der Konfiguration geändert, Apache wird nicht einmal neu gestartet.

Hier ist ein kleiner Workaround, um den Massen-Austausch von Zertifikaten etwas zu vereinfachen:

Mit folgendem SQL-Befehl (in der LiveConfig-Datenbank) kann man sich alle Verträge anzeigen lassen, in welchen SSL erlaubt ist:

SELECT HC_NAME
FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID)
WHERE HC_SSL > 0 OR HP_SSL > 0

Mit folgendem SQL werden all diese Verträge "markiert", so dass diese beim nächsten Neustart von LiveConfig automatisch neu konfiguriert werden (soll heißen: die vHost-Konfigurationen dieser Verträge werden neu geschrieben):

UPDATE HOSTINGCONTRACTS SET HC_REFRESHCFG=2824
WHERE HC_ID IN (
  SELECT HC_ID FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID) WHERE HC_SSL > 0 OR HP_SSL > 0
)

Anschließend muss LiveConfig neu gestartet werden; nach wenigen Sekunden sind die entsprechenden vHost-Configs aktualisiert. Bei Multi-Server-Installationen reicht ein Neustart des LiveConfig-Servers (man muss also nicht alle lcclients neu starten).

Mit dem nächsten Update wird es einfacher, ein aktualisiertes Zertifikat auch zu übernehmen (sowohl für mit SSL konfigurierte Dienste als auch in Hostingverträgen).

Viele Grüße & ein schönes Wochenende

-Klaus Keppler

Zitat von neduc

Also bei mir hats einiges zerschossen. Was kann ich nun machen, damit Live Config wieder rund läuft?

Das Problem ist meistens, dass wenn LiveConfig zusammen mit vielen anderen Paketen aktualisiert wird, LiveConfig zu einem "ungünstigen" Zeitpunkt neu gestartet wird während die anderen Pakete (Postfix, Dovecot usw.) gerade aktualisiert und somit nicht durch LiveConfig erkannt werden.

Starten Sie LiveConfig einfach noch mal neu, dann sollten wieder alle Dienste da sein.

Zitat von neduc

Habe dann das ganze Handbuch durchforstet und jeden Punkt abgearbeitet und bin dann auf den Punkt mit der Lizenznummer gestoßen. Und hier lag der Fehler. Das Update hat die alte Lizenznummer nicht mehr anerkannt.

Das hat mit dem Update nichts zu tun. U.a. beim Neustart von LiveConfig wird geprüft, ob die vorliegende Lizenz (/etc/liveconfig/liveconfig.key) noch gültig ist, falls nicht wird diese automatisch verlängert.

Zitat von Sven_67

An sich hatte ich mir vorgenommen, ned zu meggern oder mich über LC zu beschweren.
Allerdings habe ich seit dem Update auf 1.7.2.-r2825 Probleme mit dem MYSQL-Server.

Tut mir leid, aber LiveConfig hat mit MySQL rein gar nichts zu tun - zum Verwalten von Datenbanken meldet sich LiveConfig nur wie ein ganz normaler Client an MySQL an.

Zitat

Server / LC mehrfach neu gestartet - trotzdem werden einige Datenbanken als koruppt bezeichnet

Häufigste Ursache für korrupte Datenbanken ist das unkontrollierte Herunterfahren ("Reset") eines Servers - gab es vielleicht irgendwann einen unerwarteten Neustart?

Wenn "normale" ISAM-Tabellen korrupt sind, können die z.B. mit dem Tool "myisamcheck" repapiert werden, oder noch viel einfacher direkt über die MySQL-root-Konsole:

mysql -u root -p
(Passwort eingeben)
USE DATABASE web123db45;
REPAIR TABLE korrupte_tabelle;