Article ID: 113818, created on Jun 10, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 9.2 for Linux/Unix
  • Plesk 9.0 for Linux/Unix

Informationen zur Sicherheitslücke

Am 3. Mai 2012 wurde der Öffentlichkeit eine Sicherheitslücke betreffend PHP-CGI Remotecodeausführungen bekannt (CVE-2012-1823).
 
Diese kritische Sicherheitslücke betrifft Software die PHP-CGI beinhaltet. PHP-FastCGI ist dagegen von dieser Sicherheitslücke nicht betroffen.
 
Die Version Parallels Plesk Panel (PP) für Windows 10.4 und frühere Versionen sind NICHT betroffen.
Die Versionen Parallels Plesk Panel für Linux 9.3 - 10.4 sind ebenfalls von der Sicherheitslücke bei PHP-CGI Remotecodesausführungen NICHT betroffen dank der Nutzung des speziellen cgi_wrapper Skripts.
Parallels Plesk Panel für Linux Version 8.6 and frühere Versionen sind ebenso von der Sicherheitslücke NICHT betroffen, da diese Versionen nur mod_php nutzen.
 
Die Versionen Parallels Plesk Panel für Linux 9.0 - 9.2.3  können gefährdet sein.

Lösungsansätze

Um das Sicherheitsproblem für Parallels Plesk Panel für Linux 9.0 - 9.2.3 zu beheben, wenden Sie bitte die folgende Umgehungslösung an:


1.Es wird dringlichst empfohlen, Parallels Plesk Panel auf die aktuellste Version, die nicht gefährdet ist, zu aktualisieren.
Weitere Informationen bezüglich Parallels End of Life Strategie ist via nachfolgendem Link erhältlich: http://sp.parallels.com/de/products/plesk/lifecycle

2. Sollte ein Update von Parallels Plesk Panel nicht möglich sein, empfehlen wir einen CGI-Wrapper als Zwischenlösung.
Parallels hat ein CGI-Wrapper-Skript zum automatischen Serverupdate zur Verfügung gestellt.
Bitte laden Sie das archivierte Skript cve-2012-1823-wa_pp.tgz  aus dem Anhang auf Ihren Server mit Parallels Plesk Panel für Linux 9.0 - 9.2.3.
Extrahieren Sie das Skript aus dem Archiv und führen Sie es aus:
# wget http://kb.sp.parallels.com/Attachments/20000/Attachments/cve-2012-1823-wa_pp.tgz
# tar xfz cve-2012-1823-wa_pp.tgz
# cd cve-2012-1823-wa_pp
# bash setup.sh

 
3. Ebenso ist es möglich, das Problem zu umgehen, indem Sie für jede Website .htaccess Regeln erstellen.
RewriteEngine on
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

 
Dieser Lösungsansatz erfordert allerdings, dass eine derartige Konfiguration auf jeden Webspace einzeln angewendet wird. Bei tausenden von gehosteten Webspaces ist das eine schwierig zu realisierende Umgehungslösung.
 

Weiterführende Informationen

Bitte beachten Sie, dass diese Sicherheitslücke auch Webseiten betrifft, die mit
Parallels Operations Automation erstellt worden sind. Für weiterführende Informationen lesen Sie bitten den folgenden KB-Artikel:

113814 PHP-CGI Sicherheitslücken bei Remotecodeausführung (CVE-2012-1823) in Parallels Automation

Attachments

56797cefb1efc9130f7c48a7d1db0f0c 11a46d8a188d618564f4f0cead9a50f3 a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 6ef0db7f1685482449634a455d77d3f4 4f57df935e9acf8d18830757d2346419

Email subscription for changes to this article
Save as PDF