Article ID: 113321, created on Mar 5, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

Erklärung

Dieser Artikel wurde erstellt, um so eindeutig wie möglich Informationen in Bezug auf eine Remote-Sicherheitslücke bei Parallels Plesk Panel zu geben. 

Hintergrundinformationen

Ein anonymer Angreifer kann die Sicherheit des Parallels Panel Servers per Remotezugriff über API RPC beeinträchtigen.

Betroffene Versionen

Parallels Panel Versionen, die von der Sicherheitslücke betroffen waren:

  • Parallels Panel für Linux / Windows 7.x
  • Parallels Panel für Linux / Windows 8.x
  • Parallels Panel für Linux / Windows 9.x
  • Parallels Panel für Linux / Windows 10.0 - 10.3.1

Parallels nimmt die Sicherheit unserer Partner sehr ernst und rät ausdrücklich dazu, so schnell wie möglich gemäß unten stehenden Empfehlungen zu handeln.
Parallels versteht, das es gegenwärtig nicht als plausibel erachtet werden kann, ein vollständiges Upgrade auf die neueste Version Parallels Plesk Panel 11, die nicht betroffen ist, durchzuführen. Daher wurden einige Micro-Updates für jede betroffene Hauptversion veröffentlicht, mit denen das Sicherheitsproblem gelöst wird, ohne dass ein System-Upgrade notwendig ist. 

Server-Sicherheitstest

Wenn Sie überprüfen möchten, ob Ihr Server von besagter Sicherheitslücke betroffen ist, ziehen Sie bitte den Artikel zurate, in dem das vom Service-Team für Parallels Panel erstellte Skript zur Automatisierung des Verifizierungsvorgangs beschrieben wird:

  • 113424 Wie Sie überprüfen, ob Ihr Parallels Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 oder 10.3 nicht anfällig ist

Beseitigung der Sicherheitslücke des Servers

Falls Ihr Server von der Sicherheitslücke betroffen ist, sollten Sie sicherstellen, dass folgende Micro-Updates umgehend angewendet werden:
 

Parallels Panel Version Windows Linux
  Spezifische Fehlerbehebung Micro-Update Spezifische Fehlerbehebung Micro-Update
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Parallels Panel 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Parallels Panel 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

Die vollständige Anleitung zur Anwendung von Micro-Updates auf Parallels Panel können Sie unter folgendem Link finden: 
  • 9294 Verwendung von Micro-Updates in Parallels Plesk Panel 8.6, 9.5.x und 10.x sowie Parallels Small Business Panel

Bezüglich Parallels Panel für Virtuozzo

Falls Ihre Parallels Panel Installation innerhalb einer virtuellen Umgebung von Parallels Virtuozzo Containers genutzt wird, sollten die Micro-Updates sowie aktualisierte PVC-Templates unter Beachtung folgender Anleitung installiert werden:

  • 113441 Wie Sie die neuesten Micro-Updates für Parallels Plesk Panel in einem PVC Linux Container installieren
  • 113407 Neue PVC Templates für Parallels Panel 8.6.0, 9.5, 10.0, 10.1, 10.2 für Windows und reguläres Distribution Kit für Parallels Panel 8.6.0 und 9.5.5 für Windows mit Sicherheitslückenbehebungen
  • 7110 Micro-Updates werden nicht automatisch angewendet, wenn Parallels Panel für Linux mittels Virtuozzo Template in Containers installiert ist

Beste Vorgehensweisen

Zur Sicherheit empfehlen wir, dass Sie Ihren Server und die Abonnements Ihrer Kunden absichern, indem Sie für alle Parallels Panel Accounts die Passwörter zurücksetzen. Dazu können Sie das Skript vom Service-Team für Parallels Panel verwenden: 

  • 113391 Skript zur Massenrücksetzung der Passwörter in Parallels Panel
NACH DER MASSENÄNDERUNG DER PASSWÖRTER MÜSSEN SIE ALLE EINTRÄGE AUS DER 'sessions'-TABELLE DER psa-DATENBANK MIT DER NEUEN VERSION DES SKRIPTS ZUR MASSENRÜCKSETZUNG VON PASSWÖRTERN ENTFERNEN:
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

Wenn Sie einen Server mit Parallels Panel 8.x oder 9.x haben, empfehlen wir, diesen in Parallels Panel 11 zu migrierenParallels Plesk Panel 11 ist nicht von der Sicherheitslücke betroffen.
BEACHTEN Sie allerdings, dass eine Migration durchgeführt werden sollte und kein Upgrade, da der Migrationsvorgang einfach wieder rückgängig gemacht werden kann. 
Des Weiteren arbeitet der Quellserver von Parallels Plesk Panel mitsamt der darin registrierten Websites während der Migration weiter, während ein Upgrade eine Downtime der Services verursachen kann. 

Weitere Informationen

Wenn ein entsprechendes Micro-Update oder eine spezifische Fehlerbehebung auf Ihrem Server installiert wurde, wird das Sicherheitsproblem auf Ihrem Server behoben.

Wir hoffen, dass diese Informationen ihnen dabei helfen, die Daten auf Ihrem Server vor bösartigen Angriffen zu schützen.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article
Save as PDF