Minni: OpenSSL 1.0.1g auf Plesk v. 11.5.30 Strato V server

Hallo,

Vielleicht kann mir von euch Jemand helfen wie ich OpenSSL 1.0.1g auf den Server bringe, wegen dem
OpenSSL-Lücke Heartbleed?

Habe es hier schon auf meinem Computer geladen und entpackt:

https://www.openssl.org/source/

Aber dort befinden sich so viele Ordner und Dateien, ich weis nicht wo ich die benötigten finde, oder muss alles auf dem Server?

Wenn ich richtig bin, beim Plesk Panel->Tool & Einstellungen->Sicherheit->SSL Zertifikate->SSL-Zertifikat Hinzufügen
Zertifikatdateien hochladen

Verwenden Sie dieses Formular, um Teile des Zertifikats hochzuladen (*.key, *.crt, *-ca.crt), die Ihnen gehören

Dort sind drei Felder zum durchsuchen/ hochladen

Privater Schlüssel *
Zertifikat *
CA-Zertifikat

Müssen dort bestimmte Dateien vom gedownlodeten  OpenSSL 1.0.1g  hochgeladen werden, oder bin ich komlett auf dem Holzweg? Oder geht es mit SSH Putty einfacher?

Vielen dank für eventuelle Hilfe
Minni

  1. Morgen!

    Müssen dort bestimmte Dateien vom gedownlodeten  OpenSSL 1.0.1g  hochgeladen werden, oder bin ich komlett auf dem Holzweg?

    Du bist auf dem Holzweg! Höchstwahrscheinlich bietet dir dein Betriebssystem eine Paketverwaltung an, über die du OpenSSL aktualisieren kannst. Prozesse von Programmen, die die OpenSSL SSL-Bibliothek dynamisch zur Laufzeit laden, müssen danach neugestartet und statisch gegen diese Bibliothek gelinkte Programme ebenfalls aktualisiert werden. Wenn du das geschafft hast, kannst du ein neues Schlüsselpaar und – falls gewünscht – einen neuen CSR generieren (+ das alte Zertifikat bei deiner zuständigen CA annullieren).

    Die Verwirrung während des Schreibens deines Beitrags solltest du aber in jedem Fall zum Anlass nehmen, die Verwaltung deines Servers in die Hände eines Profis zu legen. Andernfalls wird sich vermutlich in absehbarer Zukunft ein Profi der Verwaltung deines Servers annehmen.

    \0

    1. Morgen!

      Müssen dort bestimmte Dateien vom gedownlodeten  OpenSSL 1.0.1g  hochgeladen werden, oder bin ich komlett auf dem Holzweg?

      Du bist auf dem Holzweg!

      Martin hat komplett recht.

      Andernfalls wird sich vermutlich in absehbarer Zukunft ein Profi der Verwaltung deines Servers annehmen.

      Er meint jemand, mit dem Du nicht rechnest, der nicht mit Dir abrechnet, aber Dir und/oder anderen schaden wird.

      Jörg Reinholz

    2. Moin,

      Die Verwirrung während des Schreibens deines Beitrags solltest du aber in jedem Fall zum Anlass nehmen, die Verwaltung deines Servers in die Hände eines Profis zu legen. Andernfalls wird sich vermutlich in absehbarer Zukunft ein Profi der Verwaltung deines Servers annehmen.

      Wenn nur absolute Profis Server administrieren dürften, würde es in absehbarer Zeit keine Profis mehr geben, weil sie ausgestorben wären. Niemand wird als Profi geboren. Jeder lernt sein Leben lang.
      Der TS hat ja auch nichts zur Verwendung des Servers preisgegeben. Vielleicht läuft da ne kleine private Homepage und nebenbei dient der Server als Spielwiese um das Administrieren zu lernen. Auch in diesem Fall wäre eine Übernahme des Servers durch Hacker nicht schön, aber es wäre auch kein Weltuntergang.

      Grüße Marco

      --
      Ich spreche Spaghetticode - fließend.
      1. Die Verwirrung während des Schreibens deines Beitrags solltest du aber in jedem Fall zum Anlass nehmen, die Verwaltung deines Servers in die Hände eines Profis zu legen. Andernfalls wird sich vermutlich in absehbarer Zukunft ein Profi der Verwaltung deines Servers annehmen.
        Wenn nur absolute Profis Server administrieren dürften, würde es in absehbarer Zeit keine Profis mehr geben, weil sie ausgestorben wären. Niemand wird als Profi geboren. Jeder lernt sein Leben lang.

        Ich habe bewusst das Wort Profi gewählt, damit diese Aufgabe nicht irgendeinem Freund übertragen wird, der genauso wenig Ahnung hat.

        Der TS hat ja auch nichts zur Verwendung des Servers preisgegeben. Vielleicht läuft da ne kleine private Homepage […]

        Ob auf dem Server ein katzenbilderverteilender Webserver oder Teil einer kritischen Bankeninfrastruktur läuft, ist doch völlig unwichtig! Ausnutzbare Lücken werden ausgenutzt. Minni mag sich vielleicht vorbildlich über diese Lücken informieren, dennoch fehlt ihr/ihm bereits das Grundlagenwissen, die von ihr/ihm verwendete Software auf dem neuesten Stand zu halten.

        […] und nebenbei dient der Server als Spielwiese um das Administrieren zu lernen.

        Üben kann man in einer lokalen Testumgebung. Wer schwimmen lernen will, macht das ja auch nicht in einem Haifischbecken.

        Auch in diesem Fall wäre eine Übernahme des Servers durch Hacker nicht schön, aber es wäre auch kein Weltuntergang.

        Ja, die Welt würde nicht untergehen – aber Minni haftet für jeden DDoS-Angriff, jeden Phishing-Versuch, jede Spammail und jede verteilte Datei von der gekaperten Büchse.

        \0

        1. Moin,

          Ob auf dem Server ein katzenbilderverteilender Webserver oder Teil einer kritischen Bankeninfrastruktur läuft, ist doch völlig unwichtig!

          Ach findest du?

          Ausnutzbare Lücken werden ausgenutzt. Minni mag sich vielleicht vorbildlich über diese Lücken informieren, dennoch fehlt ihr/ihm bereits das Grundlagenwissen, die von ihr/ihm verwendete Software auf dem neuesten Stand zu halten.

          Aber ob das nun tragisch ist oder nicht entscheidet der Anwendungsfall. Wenn ein katzenbilderverteilender Server off ist, ist das weniger tragisch, als wenn eine Bankinfrastruktur hops geht.

          Üben kann man in einer lokalen Testumgebung. Wer schwimmen lernen will, macht das ja auch nicht in einem Haifischbecken.

          Der Vergleich hinkt. Wenn ich in einer lokalen Testumgebung einen Server aufsetze habe ich keine Angriffe. Dann merke ich auch nicht, wenn der Server löchriger ist, als ein Schweizer Käse.
          Das ist eher so, als würde ich zu Hause auf dem Fußboden Schwimmbewegungen machen und denken, dass wenn ich das lange genug durchhalte irgendwann den Ärmelkanal durchschwimmen kann.
          Erfahrung ist aber ein wichtiger Teil eines Serveradministrators. Und die sammelt man nicht mit einer lokalen Testumgebung.
          Wobei ich dir aber recht gebe: In einer lokalen Umgebung kann man sich die Grundlagen aneignen. Ein Grundverständnis ist für das Betreiben eines Servers schon eine Voraussetzung.

          Ja, die Welt würde nicht untergehen – aber Minni haftet für jeden DDoS-Angriff, jeden Phishing-Versuch, jede Spammail und jede verteilte Datei von der gekaperten Büchse.

          Jeder Server-Administrator haftet dafür, auch Profis. Und 100% sichere Systeme gibt es nicht, auch nicht bei Profis.

          Grüße Marco

          --
          Ich spreche Spaghetticode - fließend.
          1. Mahlzeit,

            Aber ob das nun tragisch ist oder nicht entscheidet der Anwendungsfall. Wenn ein katzenbilderverteilender Server off ist, ist das weniger tragisch, als wenn eine Bankinfrastruktur hops geht.

            Ist das für dich der Worst Case?
            Dann hast du wohl noch nie davon gehört, was mit gekaperten Servern alles gemacht wird, oder?

            Und dabei ist es definitiv völlig egal, ob es ein Bankenserver oder ein Katzenbilder-Server ist. Beide können zum Spammen und Angreifen genutzt werden.

            Ich bin aber froh, dass deine Ansichten recht selten snd, denn sonst wären noch viel mehr Spamschleudern unterwegs. Wieso versuchst du keinen Volksentscheid, bei dem man ab 11 Jahre ohne Führerschein vom Mofa bis zum Düsenjet alles bewegen darf? Offensichtlich existieren Gefahren für dich nicht.

            --
            42
            1. Moin,

              Wieso versuchst du keinen Volksentscheid, bei dem man ab 11 Jahre ohne Führerschein vom Mofa bis zum Düsenjet alles bewegen darf? Offensichtlich existieren Gefahren für dich nicht.

              Der Unterschied ist, dass es für Mofas, Autos, Flugzeuge etc. Führerscheine gibt, die man machen kann um selbige bedienen zu können. Für Server gibt es das nicht. Selbst ein Fach- oder Diplominformatiker muss nicht unbedingt einen Server konfigurieren können.

              Denkt hier irgendjemand wirklich, dass sein erster Server perfekt war? Oder dass Profis wie Jörg Reinholz das Administrieren in die Wiege gelegt bekommen haben?
              Und Fehler passieren jedem mal. Es kommt nur darauf an, sich mit der Materie auseinanderzusetzen und Fehler schnellstmöglich zu beheben. Anders wird man kein Profi.

              Grüße Marco

              --
              Ich spreche Spaghetticode - fließend.
              1. Mahlzeit,

                Der Unterschied ist, dass es für Mofas, Autos, Flugzeuge etc. Führerscheine gibt, die man machen kann um selbige bedienen zu können. Für Server gibt es das nicht. Selbst ein Fach- oder Diplominformatiker muss nicht unbedingt einen Server konfigurieren können.

                Und da du es offensichtlich gut findest, dass jeder Depp (Sorry, aber es ist so) einen Server betreiben darf, hab ich dir vorgeschlagen, Führerscheine abzuschaffen. Das fndest du dann ja wohl auch gut.

                Denkt hier irgendjemand wirklich, dass sein erster Server perfekt war? Oder dass Profis wie Jörg Reinholz das Administrieren in die Wiege gelegt bekommen haben?

                Und inwieweit rechtfertigt das deine Aussage, das es ok ist?

                Und Fehler passieren jedem mal. Es kommt nur darauf an, sich mit der Materie auseinanderzusetzen und Fehler schnellstmöglich zu beheben. Anders wird man kein Profi.

                Wieviele fragen hier nach Grundwissen, die später Profis werden? Ich würde sagen, keiner oder weniger.

                Da du meine wirklich relevanten Fragen ignoriert hast, gehe ich davon aus, dass du keine Antwort weisst und bewerte deine obigen Aussagen in vorherigen Posts entsprechend. Du reagierst einzig auf Polemik und beachtest technische Fragen gar nicht.

                --
                42
          2. Ausnutzbare Lücken werden ausgenutzt. Minni mag sich vielleicht vorbildlich über diese Lücken informieren, dennoch fehlt ihr/ihm bereits das Grundlagenwissen, die von ihr/ihm verwendete Software auf dem neuesten Stand zu halten.
            Aber ob das nun tragisch ist oder nicht entscheidet der Anwendungsfall. Wenn ein katzenbilderverteilender Server off ist, ist das weniger tragisch, als wenn eine Bankinfrastruktur hops geht.

            Die Server gehen aber gar nicht off, sondern laufen weiter und warten auf weitere Anweisungen von ihrem neuen Op. Natürlich ist das bei einem Server einer Bank „tragischer“, aber was ich eigentlich sagen wollte ist, dass beide Server gleichermaßen von automatisierten Angriffen betroffen sind. Da wird kein Unterschied gemacht.

            Wobei ich dir aber recht gebe: In einer lokalen Umgebung kann man sich die Grundlagen aneignen. Ein Grundverständnis ist für das Betreiben eines Servers schon eine Voraussetzung.

            Also wollen wir im Prinzip das Gleiche: die Leute sollen die verdammten Grundlagen beherrschen, bevor sie einen Daemon am Internet lauschen lassen! Für die Grundlagen braucht man aber Zeit – und da sich die keiner mehr nimmt, wird das Internetklima immer ungemütlicher.

            \0

  2. Hello,

    das passt nun eigentlich auch zu einem noch offenen anderen Thread:
    https://forum.selfhtml.org/?t=217105&m=1490548
    https://forum.selfhtml.org/?t=217105&m=1490594

    Wenn es ein Linux-Server bei Strato ist, wird er vermutlich auch Ubuntu benutzen (reine Vermutung aus der Statistik)?

    Dann kannst Du mit nacheinander "apt-get update" und  "apt-get install openssl" die reparierte Version installieren.

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bikers-lodge.com
    1. Hello,

      das sollte "Zur Info" werden...

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bikers-lodge.com
    2. Hello,

      das passt nun eigentlich auch zu einem noch offenen anderen Thread:
      https://forum.selfhtml.org/?t=217105&m=1490548
      https://forum.selfhtml.org/?t=217105&m=1490594

      Wenn es ein Linux-Server bei Strato ist, wird er vermutlich auch Ubuntu benutzen (reine Vermutung aus der Statistik)?

      Nicht unbedingt. Strato bietet für vServer folgende Linux-Distributionen an:

      openSUSE 12.3
      Debian 7
      Ubuntu 12.04 LTS
      CentOS 6

      und bedient damit zumindests die wichtigsten Typen der Distributionen mit Binärpaketen.

      Jörg Reinholz

  3. Hallo

    Vielleicht kann mir von euch Jemand helfen wie ich OpenSSL 1.0.1g auf den Server bringe, wegen dem
    OpenSSL-Lücke Heartbleed?

    Aus deinem Beitrag ergibt sich für mich eine Frage.

    Hast du bei Strato einen dedizierten Server oder „nur“ Webspace gemietet?

    Wenn ich richtig bin, beim Plesk Panel->Tool & Einstellungen->Sicherheit->SSL Zertifikate->SSL-Zertifikat Hinzufügen
    Zertifikatdateien hochladen

    An dieser Stelle kannst du, wie der Text es schon sagt, generiert vorliegende Zertifikate hochladen, aber nicht das Programm, mit dem diese Zertifikate genutzt werden (openssl).

    Tschö, Auge

    --
    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
    Terry Pratchett, "Wachen! Wachen!"
    ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
    Veranstaltungsdatenbank Vdb 0.3
    1. Hallo,

      Erst einmal vielen dank für eure vielen Antworten,

      Ich habe  bei Strato den V Server STRATO V-PowerServer LE (Wandel),

      Im Kundenbereich Ubuntu nochmal neu Installiert,

      Mit Putty SSH habe ich nachträglich nochmal uprade und update, aber,

      [URL]http://possible.lv/tools/hb/[/url]

      Kommt jetzt nur noch die Meldung

      ############
      Looking for TLS extensions on https://XXX.de

      ext 65281 (renegotiation info, length=1)
      ext 00011 (EC point formats, length=4)
      ext 00035 (session ticket, length=0)
      ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
      Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

      Checking your certificate
      Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords?

      #########

      Was muss nun noch getan werden damit diese Meldung kommt:

      Looking for TLS extensions on https://XXX.de

      ext 65281 (renegotiation info, length=1)
      TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.

      #########

      Vielen dank für weitere Hilfe

      MFG Minni