Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

背景
 
已经发现 Parallels Plesk Panel 优先权升级漏洞,并在 VU#310500 和 CVE-2013-0132、CVE-2013-0133 中进行过描述(CVSS score 4.4 - http://www.kb.cert.org/vuls/id/310500 )

以下版本的 Parallels Plesk Panel for Linux 确认会受影响: 9.5、10.x、11.x. 在以上漏洞中没有已知漏洞,所以 Parallels 强力建议采取行动应用在此文中建议的安全更新(或临时方案)。
 

详情
 
Parallels Plesk Panel 9.x-11.x 基于 Apache web 服务器且正运行 mod_php、mod_perl、mod_python 等很容易受到已验证的用户优先权升级漏洞的影响。 已验证用户是可已登录过 Parallels Plesk Panel 的用户(例如,您的客户、代理商或您的员工)。
 
基于 Apache web 服务器且配置有 Fast CGI(PHP、perl、python,等)或 CGI(PHP、perl、python,等)的 Parallels Plesk Panel 实例不会受到此漏洞的影响。
 
安全起见,Parallels 已推荐并继续推荐使用 Fast CGI(针对 PHP、python、perl,等)和 CGI(perl、python、PHP,等)替代 mod_php、mod_perl、mod_python 等等。


目前状态

Parallels 正积极研发安全更新。 发行这些更新的估计时间是:
 
•    Plesk 11: 在 MU#46 中得以修正(显示为 安全修复 – red – 在所有 Plesk 11 中) - 查看 KB115944 了解更多信息
•    Plesk 10.4.4: 在 MU#49 中得以修复(显示为 更新 – MU – 在 Panel 中) - 查看 KB115945 了解详情。
•    Plesk 9.5.4:  在 MU#28 中得以修复 - 查看 KB115946 了解详情。
•    Plesk 10s before 10.4.4:  下一周


即时方案

禁用 mod_phpmod_pythonmod_perl 并试用 Fast CGI 和/或 CGI,这些不受安全漏洞的影响。

以下是如何为所有现有域切换 mod_phpfast_cgi 的示例:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

该问题的修复程序发布后,Parallels 仍建议避免使用这些 apache 模块(mod_phpmod_pythonmod_perl)而使用 e Fast CGI 或 CGI 模式来提高使用 Apache 的安全性。

要了解其它详情,请参阅 Parallels Plesk Panel for Linux Advanced Administration Guide, Enhancing Security section

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article