Article ID: 114058, created on Feb 28, 2013, last review on Aug 12, 2014

  • Applies to:
  • Web Presence Builder
  • Plesk 12.0 for Linux
  • Plesk 11.5 for Linux
  • Plesk 10.4 for Linux/Unix
  • Plesk 11.5 for Windows
  • Plesk 10.4 for Windows
  • Plesk Sitebuilder 4.5 for Linux/Unix

Information

Am 03. Mai 2012 wurde eine Sicherheitsanfälligkeit bezüglich der Ausführung von PHP-CGI-Remotecode in der allgemeinen Öffentlichkeit bekannt. Es handelt sich um eine kritische Sicherheitslücke, die jede Software betrifft, die PHP als CGI verwendet.

Nachfolgend finden Sie Informationen darüber, welche Versionen von Parallels Plesk SiteBuilder (PPSB) und Web Presence Builder (WPB) von der Sicherheitslücke betroffen sind.

Nicht betroffen:

  • PPSB 2.x-4.x für Windows;
  • WPB, das im Bundle mit Parallels Plesk Panel 10.x-11.x für Linux und Windows erworben wurde;
  • WPB 10.x-11.x für Linux, Standalone-Version.

Betroffen:

  • Parallels Automation für WPB  10.x-11.x (Einzelheiten und eine Anleitung zur Lösung finden Sie im Artikel Nr. 114080)
  • PPSB 2.x-4.x für Linux (Einzelheiten und eine Anleitung zur Lösung finden Sie nachfolgend)

Kennzeichen

PHP-CGI-Installationen sind anfällig für die Ausführung von Remotecode. Die Sicherheitslücke kann nur ausgenutzt werden, wenn der HTTP-Server einen ziemlich unklaren Teil der CGI-Spezifikation befolgt. Dies betrifft insbesondere den Apache Webserver sowie einige andere.

Ursache

Es wurde eine kritische Schwachstelle in PHP (CVE-2012-1823) entdeckt, die es jemandem ermöglicht, den Quellcode eines PHP-Skripts anzuzeigen und in einigen Fällen potenziell eine Remotecode-Ausführung auszulösen (es gibt keinen öffentlich verfügbaren PoC):

http://www.php.net/archive/2012.php#id2012-05-03-1

Der auf dieser Seite bereitgestellte offizielle Patch behebt das Problem noch nicht gänzlich.

Wie Sie überprüfen, ob eine Website angreifbar ist

Fügen Sie in einem Browser die Zeichenfolge "?-d" zur Website-URL mit einem existierenden PHP-Skript hinzu, z. B. wie in folgendem Beispiel:

http://<ihr_sb-hostname>/check.php?-d

Sie erhalten

500 Interner Serverfehler

und Folgendes können Sie in der Datei /var/log/apache2/sitebuilder_error.log finden:

[Tue Jun 05 15:25:00 2012] [error] [client 10.50.1.82] Error in argument 1, char 2: no argument for option d
[Tue Jun 05 15:25:00 2012] [error] [client 10.50.1.82] malformed header from script. Bad header=       php5 <file> [args...]: php5

Lösung (nicht wirksam für FreeBSD)

Bitte befolgen Sie die unten aufgeführten Schritte, um das Problem zu lösen:

  1. Laden Sie die Archivdatei cve-2012-1823-wa_sb.tgz herunter.

    # wget http://kb.sp.parallels.com/Attachments/kcs-12554/cve-2012-1823-wa_sb.tgz
    
  2. Extrahieren Sie Folgendes aus dem Archiv:

    # tar xzvf cve-2012-1823-wa_sb.tgz
    # cd cve-2012-1823-wa_sb
    
  3. Starten Sie das Skript:

    # sh setup.sh
    

Sie erhalten daraufhin diese Ausgabe: "Wrapped: PHP5."

Manuelle Lösung (nur für FreeBSD)

  1. Laden Sie die Archivdatei cve-2012-1823-wa_sb.tgz herunter:

    # fetch http://kb.sp.parallels.com/Attachments/kcs-12554/cve-2012-1823-wa_sb.tgz
    
  2. Extrahieren Sie Folgendes aus dem Archiv:

    # tar xzvf cve-2012-1823-wa_sb.tgz
    # cd cve-2012-1823-wa_sb
    
  3. Erstellen Sie eine Kopie der originalen PHP-CGI-Binärdatei:

    # mv /usr/local/sitebuilder/cgi-bin/php /usr/local/sitebuilder/cgi-bin/php.orig
    
  4. Ersetzen Sie die PHP-Binärdatei mit dem Wrapper aus dem Anhang:

    # cp php_wrapper.freebsd /usr/local/sitebuilder/cgi-bin/php
    
  5. Legen Sie die richtigen Berechtigungen für die kopierte Datei fest:

    # chmod 755 /usr/local/sitebuilder/cgi-bin/php
    # chown root:wheel /usr/local/sitebuilder/cgi-bin/php
    

Um anschließend zu überprüfen, ob der Bugfix korrekt installiert wurde, müssen Sie Folgendes starten:

# /usr/local/sitebuilder/cgi-bin/php -v

Wichtiger Hinweis zur Lösung für FreeBSD: Wenden Sie diese Lösung nicht mehr als einmal an. Wenn Sie herausfinden wollen, ob sie bereits angewendet wurde, müssen Sie überprüfen, ob die Datei /usr/local/sitebuilder/cgi-bin/php.orig im System existiert. Sofern Sie existiert, löschen Sie sie nicht und wiederholen Sie bitte die oben genannten Schritte nicht.

Attachments

56797cefb1efc9130f7c48a7d1db0f0c fad6dc0c8e983c17ae70a51ac7952cd0 bd7fc88cf1b01f097749ae6f87272128 a914db3fdc7a53ddcfd1b2db8f5a1b9c 85a92ca67f2200d36506862eaa6ed6b8 29d1e90fd304f01e6420fbe60f66f838 c796c01d6951fa24ed54c7f1111667c6 0a53c5a9ca65a74d37ef5c5eaeb55d7f dd0611b6086474193d9bf78e2b293040 d055be4fdc562a8ecb8e6d0bf419f946 2a5151f57629129e26ff206d171fbb5f e335d9adf7edffca6a8af8039031a4c7 e8756e9388aeca36710ac39e739b2b37 f7f840260c1591440648a375a64b5b75 ea6a61e571a858aa6019ceb068ea403a ff5a00b8ead2e480367b019417a04207 01bc4c8cf5b7f01f815a7ada004154a2 46a8e394d6fa13134808921036a34da8 9305481d3bd31663b68451e3bfdec5a5

Email subscription for changes to this article
Save as PDF