forum.opsi.org

Sehr geehrte opsi Anwender,

ein kürzlich bekannt gewordener Bug in neueren openSSL Bibliotheken
führt bei vielen Systemadministratoren zu Sorgen.
(http://www.heise.de/newsticker/meldung/ ... 65517.html)

Daher eine kurze Info in wieweit opsi davon betroffen ist:
Der opsi-client-agent ist nicht (!) davon betroffen.
Der opsi-server ist davon betroffen wenn er auf einer betroffenen Linuxversion läuft.
Daher ist es wichtig das Sie die aktuellen Patches für ihr Serverbetriebssystem einspielen.
Nach dem Update der openSSL Bibliotheken sollten sie den opsiconfd neustarten. Sie sollten danach auch das opsi-Serverzertifikat erneuern:

Wenn Sie die Einstellung veryfiy_server_cert_by_ca verwenden (also ein bei uib gekauftes Zertifikat)
melden Sie sich bitte bei uns (info@uib.de), Sie bekommen ein neues ausgestellt.

Ansonsten führen Sie aus: Wenn Sie die Einstellung veryfiy_server_cert verwenden,
werden Clients danach die Verbindung verweigern:
Sie müssen daher den Clients mitteilen Ihren Zertifikatscache zu löschen: Sie werden dies wahrscheinlich mehrfach ausführen müssen,
da Sie mit dieser Methode nur angeschaltete Clients 'erwischen'.

mit freundlichen Grüßen
detlef oertel

You might want to check your website: http://filippo.io/Heartbleed/#opsi.org:443
According to this test, opsi.org is affected.
And uib.de too.

Hello SisterOfMercy,

danke für den Hinweis, wir haben uns bereits darum gekümmert.


Gruß

Niko

Wenn der Opsi-client-agent neuinstalliert wird, dann wird doch auch ein neues Zertifikat generiert. Korrekt?
Dann wäre es IMHO einfacher auf jedem Client diesen auf Setup zu setzen.

Hi Tobias,

d.oertel hat geschrieben:Der opsi-client-agent ist nicht (!) davon betroffen.

Der Hinweis gilt nur für den Zertifikatscache, der bei verify_server_cert auf den Clients angelegt wird. In diesem Fall kannst dann auch nicht mehr den opsi-client-agent über den Service installieren, weil der Client die Verbindung mit dem Server blockiert, aber umgekehrt ist der Weg noch offen.

Grüße
Erol