Article ID: 113321, created on Feb 22, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

免责条款

本文章主要是提供有关 Plesk Panel 远程安全漏洞的详细信息。

背景信息

匿名攻击者可远程破坏 Plesk 服务器。

受影响的版本

受到该漏洞影响的 Plesk 版本:

  • Plesk for Linux / Windows 7.x
  • Plesk for Linux / Windows 8.x
  • Plesk for Linux / Windows 9.x
  • Plesk for Linux / Windows 10.0 - 10.3.1

Parallels 非常重视合作伙伴的安全问题,建议您尽快采取建议的措施。
Parallels 理解现在执行完全升级到不受影响的 Parallels Plesk Panel 11 可能不太可行,因此为每个受到影响的主要版本发行一套微更新解决该安全问题,而不用进行系统升级。

服务器漏洞检测

为了检测您的服务器是否受到之前公布的安全漏洞的影响,请参看该文章,了解 Plesk 服务团队创建的可自动化核查流程的脚本:

  • 113424 How to make sure if your Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 or 10.3 is not vulnerable

服务器漏洞修复

如果您的服务器受到影响,请确保立即应用以下中的一个微更新:
 

Plesk 版本 Windows Linux
  自定义修复 微更新 自定义修复 微更新
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

可在以下链接中找到有关应用微更新的完整指南:
  • 9294 Using Microupdates in Parallels Plesk Panel 8.6, 9.5.x, 10.x and Parallels Small Business Panel

Plesk for Virtuozzo 细则

如果您在 Parallels Virtuozzo Containers 虚拟环境内部运行 Plesk 安装,应使用以下指南安装微更新或更新的 PVC 模板:

  • 113441 How to install the latest Microupdates for Parallels Plesk Panel to a PVC Linux container
  • 113407 New PVC templates for Plesk 8.6.0, 9.5, 10.0, 10.1, 10.2 Windows and regular distribution kit for Plesk 8.6.0 and 9.5.5 Windows versions with included security fixes
  • 7110 Microupdates are not applied automatically if Parallels Panel for Linux is installed inside Containers by means of Virtuozzo template

最佳方案

为了安全起见,我们建议您使用来自 Plesk 服务团队的脚本为所有的 Plesk 版本重设密码来保证您服务器和客户订阅的安全。

  • 113391 Plesk Mass Password Reset Script
大量密码更改后,您必须从带有新版本的 大量密码重设脚本 的psa 数据库 '会话' 表格中移除所有的记录:
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

如果您有 Plesk 8.x 或 Plesk 9.x 服务器我们建议迁移到 Plesk 11 Plesk Panel 11 没有该安全漏洞。 
注意应执行迁移,而不是升级,因为迁移过程比较容易回滚。 
而且,在迁移过程中,源 Parallels Plesk Panel 服务器可继续与在服务器中注册的网站一起运行,而升级会导致服务一段时间内无法运行。

其他信息

如果在您的服务器上安装了相应的微更新或自定义修复,就会修复您服务器上的漏洞。

我们希望该信息能够帮助您保证服务器上数据的安全免受恶意攻击。

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article