SSL-Heartbleed Bug und opsi

Neuigkeiten und Ankündigungen
Antworten
Benutzeravatar
d.oertel
uib-Team
Beiträge: 3319
Registriert: 04 Jun 2008, 14:27

SSL-Heartbleed Bug und opsi

Beitrag von d.oertel »

Sehr geehrte opsi Anwender,

ein kürzlich bekannt gewordener Bug in neueren openSSL Bibliotheken
führt bei vielen Systemadministratoren zu Sorgen.
(http://www.heise.de/newsticker/meldung/ ... 65517.html)

Daher eine kurze Info in wieweit opsi davon betroffen ist:
Der opsi-client-agent ist nicht (!) davon betroffen.
Der opsi-server ist davon betroffen wenn er auf einer betroffenen Linuxversion läuft.
Daher ist es wichtig das Sie die aktuellen Patches für ihr Serverbetriebssystem einspielen.
Nach dem Update der openSSL Bibliotheken sollten sie den opsiconfd neustarten.

Code: Alles auswählen

/etc/init.d/opsiconfd restart
/etc/init.d/opsipxeconfd restart
Sie sollten danach auch das opsi-Serverzertifikat erneuern:

Wenn Sie die Einstellung veryfiy_server_cert_by_ca verwenden (also ein bei uib gekauftes Zertifikat)
melden Sie sich bitte bei uns (info@uib.de), Sie bekommen ein neues ausgestellt.

Ansonsten führen Sie aus:

Code: Alles auswählen

opsi-setup  --renew-opsiconfd-cert
Wenn Sie die Einstellung veryfiy_server_cert verwenden,
werden Clients danach die Verbindung verweigern:
Sie müssen daher den Clients mitteilen Ihren Zertifikatscache zu löschen:

Code: Alles auswählen

opsi-admin -d method hostControlSafe_opsiclientdRpc deleteServerCerts "" "*"
Sie werden dies wahrscheinlich mehrfach ausführen müssen,
da Sie mit dieser Methode nur angeschaltete Clients 'erwischen'.

mit freundlichen Grüßen
detlef oertel
opsi support - uib gmbh

For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Nach oben
Benutzeravatar
SisterOfMercy
Beiträge: 1524
Registriert: 22 Jun 2012, 19:18

Re: SSL-Heartbleed Bug und opsi

Beitrag von SisterOfMercy »

You might want to check your website: http://filippo.io/Heartbleed/#opsi.org:443
According to this test, opsi.org is affected.
And uib.de too.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Nach oben
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: SSL-Heartbleed Bug und opsi

Beitrag von n.wenselowski »

Hello SisterOfMercy,

danke für den Hinweis, wir haben uns bereits darum gekümmert.


Gruß

Niko

Code: Alles auswählen

import OPSI
Nach oben
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:
Kontaktdaten von tobias

Re: SSL-Heartbleed Bug und opsi

Beitrag von tobias »

Wenn der Opsi-client-agent neuinstalliert wird, dann wird doch auch ein neues Zertifikat generiert. Korrekt?
Dann wäre es IMHO einfacher auf jedem Client diesen auf Setup zu setzen.
Nach oben
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: SSL-Heartbleed Bug und opsi

Beitrag von ueluekmen »

Hi Tobias,
d.oertel hat geschrieben:Der opsi-client-agent ist nicht (!) davon betroffen.
Der Hinweis gilt nur für den Zertifikatscache, der bei verify_server_cert auf den Clients angelegt wird. In diesem Fall kannst dann auch nicht mehr den opsi-client-agent über den Service installieren, weil der Client die Verbindung mit dem Server blockiert, aber umgekehrt ist der Weg noch offen.

Grüße
Erol
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Nach oben
Antworten

Zurück zu „News“