Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

Hintergrundinformation
 
In Parallels Plesk Panel wurde eine, die Privilegien erweiternde, Sicherheitslücke erkannt und wie folgt in VU#310500 und CVE-2013-0132, CVE-2013-0133 beschrieben (CVSS score 4.4 - http://www.kb.cert.org/vuls/id/310500 )

Nachfolgende Versionen von Parallels Plesk Panel für Linux sind von dieser Sicherheitslücke betroffen: 9.5, 10.x, 11.x: 9.5, 10.x, 11.x. Bis dato ist kein Fall bekannt, in dem von dieser Sicherheitslücke ausgenutzt worden ist. Jedoch empfiehlt Parallels eindringlich sofortige Maßnahmen zu ergreifen und folgende – in diesem Artikel beschriebene - Sicherheitsupdates (oder Problemumgehungslösungen) auszuführen.
 

Detailinformationen
 
Die Parallels Plesk Panel Versionen 9.x-11.x mit Apache-Webserver betrieben auf mod_php, mod_perl, mod_python, etc. weisen die nachfolgend beschriebene Sicherheitslücke auf:  Sie bestätigen die Erweiterung von Authentifizierten User Privilegien. Authentifizierte User sind dabei User, die sich in Parallels Plesk Panel eingeloggt haben. Dies können z.B. Ihre Kunden, Reseller oder auch Ihre Mitarbeiter sein.
 
Parallels Plesk Panel Instanzen mit Apache-Webserver konfiguriert mit Fast CGI (PHP, perl, python, etc) oder CGI (PHP, perl, python, etc) weisen diese Sicherheitslücke nicht auf.
 
Im Hinblick auf Sicherheitsproblematiken empfiehlt Parallels weiterhin die Konfiguration mit Fast CGI (für PHP, python, perl, etc) und CGI (perl, python, PHP, etc) via mod_php, mod_perl, mod_python, etc.


Gegenwärtiger Status

Parallels arbeitet an den Sicherheitsupdates. Die Veröffentlichungen für diese Sicherheitsupdates sind folgendermaßen:
 
•    Parallels Plesk Panel 11: behoben in MU#46 (Dies wird als Sicherheitsfix – Rot – in allen Parallels Plesk Panel 11 Versionen angezeigt) – Wenn Sie weitere Informationen wünschen, lesen Sie bitte dazu folgende Artikel: KB115944
•    Parallels Plesk Panel 10.4.4: behoben in MU#49 (Dies wird als Sicherheitsupdate im Panel angezeigt – MU) – Für weiterführende Informationen, lesen Sie bitte nachfolgenden Artikel: KB115945 for more details
•    Plesk 9.5.4:  behoben in MU#28 – Wünschen Sie dazu weitere Details? Dann lesen Sie bitte den Artikel  KB115946 for more details
•    Plesk 10s vor 10.4.4:  wird in Kürze mit einem Update behoben


Sofortige  Problemumgehungslösungen

Deaktivieren Sie mod_php, mod_python and mod_perl und benutzen Sie stattdessen Fast CGI und/oder CGI, da diese Konfiguration die Sicherheitslücke nicht aufweist.

Nachfolgend finden Sie das Beispiel wie Sie alle gegenwärtig bestehenden Domains von mod_php auf fast_cgi wechseln können:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Nach der Veröffentlichung der Behebung dieser Sicherheitslücke, empfiehlt Parallels auch weiterhin diese Apache Module (mod_php, mod_python und mod_perl) zu meiden und stattdessen Fast CGI oder CGI Modus für eine verbesserte Sicherheitsleistung Apache zu verwenden.

Für weiterführende Informationen bitte wir Sie auf Parallels Plesk Panel for Linux Advanced Administration Guide, Enhancing Security section zurückzugreifen.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article
Save as PDF