Heartbleed en openssl (CVE-2014-0160)

Una visita a la web securitybydefault nos alertó del ya famoso CVE 2014-0160 concerniente a las versiones de openssl 1.0.1 anteriores a la 1.0.1g. Esta vulnerabilidad se aprovecha de un error en la implementación de TLS y DTLS de las versiones mencionadas para permitir al atacante obtener información sensible de la memoria de procesamiento a través de un una serie de paquetes personalizados de tal forma que generan una sobrecarga en el buffer. Como consecuencia, es posible extraer información directamente de hasta 64 kB de memoria de un equipo sin dejar rastro utilizando esta vulnerabilidad

heartbleed

Información obtenible y posibles modos de explotación

Entre la información que se puede obtener mediante el uso de esta vulnerabilidad se encuentra la que, probablemente, sea la más relevante para un servidor: su clave privada. La obtención de la clave privada podría desembocar en un ataque man in the middle haciéndose pasar por el servidor de tal forma que se introduzcan datos críticos en el equipo atacante. Otros datos que se podrían obtener serían las cuentas de usuario y contraseñas que utilizan servicios vulnerados así como información crítica de los mismos.

Comprobar si los servidores están afectados y solución del problema

Para solucionar este error, la versión openssl 1.0.1g ha visto la luz y algunos sistemas operativos ya están ofreciendo la posibilidad de actualizar a la misma (CentOS entre ellos). El procedimiento para actualizar requerirá de un reinicio de todos los servicios que usen openssl para tener efecto. Es posible llevar a cabo una comprobación online sobre los servidores afectados a través de la url http://filippo.io/Heartbleed

tool-online-heartbleed (1)

Heartbleed y CanarCloud®

Para terminar, nos gustaría tranquilizar a nuestros clientes informándoles de que todos los servidores han sido actualizados para impedir la explotación de esta vulnerabilidad. Para ello hemos aplicado todas las recomendaciones de los fabricantes(CentOS, OpenSSL, cPanel, etc…) para garantizar que nuestra infraestructura de Cloud no se verá afectada por esta vulnerabilidad.

Más información en:

abril 9th, 2014

Posted In: Recomendaciones y Actualizaciones

Etiquetas:

Leave a Comment

Fortificando su sitio web: gestión de CloudLinux a través de cPanel

Uno de los aspectos más complejos de abordar en cPanel es el control de recursos por usuario. Con el fin de satisfacer esta necesidad, CloudLinux y cPanel llevan varios años trabajando a través de un acuerdo de partnership para mejorar la integración entre este sistema operativo y el panel de control. A continuación se aclarará que aporta CloudLinux a la hora de gestionar recursos y cómo se gestiona desde cPanel.

  • Estabilidad mejorada al limitar recursos por usuario: en hosting compartido, la causa más común de falta de disponibilidad es que una cuenta esté ralentizando a las demás por un consumo de recursos excesivo. La implementación de cPanel y CloudLinux utiliza la tecnología Lightweight Virtual Environment (LVE), mejorando la densidad y estabilidad de su entorno de  hosting compartido para todos los inquilinos
  • Transparente para el administrador y el usuario final: debido a que LVE es una tecnología implementada a nivel de kernel, es totalmente transparente.
  • Eficiencia del servidor incrementada: Mediante la monitorización y contención de picos de reursos, CloudLinux elimina la necesidad de dejar recursos del servidor no asignados, incrementando el número de cuentas que se pueden alojar en un servidor de cPanel.
  • Interface administrativa dentro de cPanel y WHM para gestionar fácilmente  el uso de recursos por cuenta: dentro de cPanel y WHM, CloudLinux proporciona una interface de administración que permite la visualización de recursos consumidos por cada sitio web.

Gestión de CloudLinux a través de WHM

El acceso a la gestión de CloudLinux a través de WHM se encuentra ubicado en la sección Server Configuration -> CloudLinux LVE manager

whm_lve_location

LVE Manager proporciona una forma sencilla de monitorizar el uso de recursos en tiempo real

whm_current_usage

Ajuste de la configuración por usuario

whm_settings_zoom79

Ver el historial de uso de recursos por cuenta

whm_history_zoom73

Las tablas de estadísticas permiten obtener datos acerca del uso del LVE. Es posible obtener las cuentas con el mayor número de fallos o las que dan valores máximos de CPU/RAM/IO/etc… mediante la opción top LVEs. Puede ajustarse el número de entradas en el reporte eligiendo el número deseado en la opción limit.

La opción LVE Approaching Limits muestra aquellas cuentas que estén usando un X% del uso especificado en Using de sus recursos asignados. Fault LVE muestra aquellas cuentas con problemas debido a que han alcanzado algún límite de recursos. Esta opción permite configurar el número de errores a partir de los cuales se mostrará la cuenta en Threshold.

whm_statistics_zoom77

Desde la sección Statistic Results pueden verse gráficas de uso de recursos para un LVE en concreto.

whm_chart_zoom84

En la pestaña Packages se puede gestionar el límite en función del paquete asociado en la cuenta. Cada una de las cuentas asociadas a ese paquete deberá respetar el limite impuesto.

whm_plan_settings_zoom91

Editar el límite de recursos por paquete es muy similar a editar límites para cada cuenta individualmente.

whm_edit_package

La pestaña opciones permite definir si los datos de uso y los límites asignados por LVE serán visibles para el usuario final a través de la interface de cPanel.

whm_options

Más información en: http://docs.cloudlinux.com/index.html?cpanel_lve_manager.html, http://cpanel.net/cpanel-whm/cloudlinux/

marzo 10th, 2014

Posted In: Productos, Tutoriales

Etiquetas: , , , ,

Leave a Comment

Actualizaciones de Seguridad cPanel & WHM 11.38, 11.36, 11.34, and 11.32

cPanel ha lanzado las nuevas versiones de actualización para todos sus productos. Esta actualización resuelve un problema de escalado de privilegios de un revendedor permitiendo la modificación de los ficheros de la carpeta .ssh de root y generando claves privadas de forma aleatoria lo que puede ocasionar un ataque de denegación de servicio.

cPanel ha calificado estas actualizaciones como de seguridad moderada. Información sobre clasificación de seguridad está disponible en http://go.cpanel.net/securitylevels.

Las siguientes versiones recogen todos los parches de seguridad conocidos:

  • 11.38.0.5
  • 11.36.1.6
  • 11.34.1.14
  • 11.32.6.5

Las últimas versiones públicas de cPanel y WHM para todos los niveles de actualización se encuentran disponibles a través de http://httpupdate.cpanel.net.

Recomendamos a todos los clientes que actualicen a la versión más reciente de cada versión tan pronto como sea posible.

mayo 21st, 2013

Posted In: Recomendaciones y Actualizaciones

Etiquetas: , , ,

Leave a Comment

Actualizaciones de Seguridad cPanel & WHM 11.36, 11.34, and 11.32

cPanel ha lanzado las nuevas versiones de actualización para todos sus productos. Estas actualizaciones proporcionan cambios dirigidos a abordar los problemas de seguridad con el producto cPanel y WHM.

cPanel ha calificado estas actualizaciones como de seguridad importante. Información sobre clasificación de seguridad está disponible en http://go.cpanel.net/securitylevels.

Las siguientes versiones recogen todos los parches de seguridad conocidos:

  • 11.36.0.10
  • 11.34.1.11
  • 11.32.6.2

Las últimas versiones públicas de cPanel y WHM para todos los niveles de actualización se encuentran disponibles a través de http://httpupdate.cpanel.net.

Recomendamos la actualización a la última versión disponible a la mayor brevedad posible.

febrero 27th, 2013

Posted In: Recomendaciones y Actualizaciones

Etiquetas: , , ,

Leave a Comment