Article ID: 113321, created on Feb 21, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

Descripción

Este artículo ha sido creado para proporcionar la información más explícita relacionada con una vulnerabilidad de seguridad remota de Parallels Plesk Panel. 

Información general

Un atacante anónimo puede poner en riesgo la seguridad del servidor Parallels Plesk Panel.

Versiones afectadas

Las versiones de Parallels Panel afectadas por esta vulnerabilidad son las siguientes:

  • Parallels Plesk Panel para Linux/Windows 7.x
  • Parallels Plesk Panel para Linux/Windows 8.x
  • Parallels Plesk Panel para Linux/Windows 9.x
  • Parallels Plesk Panel para Linux/Windows 10.0 - 10.3.1

La seguridad para nuestros partners es extremadamente importante para Parallels y por este motivo le instamos a realizar las acciones detalladas a continuación lo antes posible.

Parallels entiende que puede que en este momento no sea plausible realizar una actualización completa a la versión más reciente de Parallels Plesk Panel 11 que no se ve afectada por esta incidencia. Por este motivo se publicaron múltiples microactualizaciones para cada versión principal afectada, que resolverán la incidencia de seguridad sin necesidad de actualizar el sistema. 

Comprobación de la afectación de la vulnerabilidad en el servidor

Para comprobar si su servidor está afectado por la vulnerabilidad de seguridad descrita anteriormente, consulte el artículo que describe el script creado por el equipo de servicio de Parallels Plesk Panel y que permite automatizar el procedimiento de verificación:

  • 113424 Cómo comprobar si su Parallels Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 o 10.3 no es vulnerable

Corrección de la vulnerabilidad en el servidor

Si su servidor es vulnerable, compruebe de inmediato que ha aplicado una de las siguientes microactualizaciones:
 

Versión de Parallels Panel Windows Linux
  Corrección personalizada Microactualización Corrección personalizada Microactualización
Parallels Panel 8.1 KB112303 - KB113313 -
Parallels Panel 8.2 KB112303 - KB113313 -
Parallels Panel 8.3 KB112303 - KB113313 -
Parallels Panel 8.4 KB112303 - KB113313 -
Parallels Panel 8.6.0 KB112303 - - 8.6.0 MU#2
Parallels Panel 9.0 KB112303 - KB113313 -
Parallels Panel 9.2.x KB112303 - KB113313 -
Parallels Panel 9.3 KB112303 - KB113313 -
Parallels Panel 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Parallels Panel 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Parallels Panel 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Parallels Panel 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Parallels Panel 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

En el siguiente artículo de nuestra base de conocimiento encontrará una guía completa para la aplicación de microactualizaciones: 
  • 9294 Uso de microactualizaciones en Parallels Plesk Panel 8.6, 9.5.x y 10.x y en Parallels Small Business Panel

Información específica para Parallels Panel para Parallels Containers

Si su instalación de Parallels Plesk Panel se ejecuta en un entorno virtual Parallels Virtuozzo Containers, las microactualizaciones o las plantillas PVC actualizadas deberían instalarse tal y como se describe en los siguientes artículos de nuestra base de conocimiento:

  • 113441 Cómo instalar las microactualizaciones más recientes para Parallels Plesk Panel en un contenedor PVC Linux
  • 113407 Nuevas plantillas PVC para Parallels Plesk Panel 8.6.0, 9.5, 10.0, 10.1, 10.2 Windows y kit de distribución regular para Parallels Plesk Panel 8.6.0 y 9.5.5 Windows que incluye correcciones de seguridad
  • 7110 Las microactualizaciones no se aplican automáticamente si Parallels Panel para Linux se instala en contenedores a través de una plantilla PVC

Mejores prácticas

Para ir sobre seguro le recomendamos proteger su servidor y las suscripciones de sus clientes restableciendo las contraseñas de todas las cuentas Parallels Plesk Panel usando el script del equipo de servicio de Parallels Panel: 

  • 113391 Script de restablecimiento masivo de contraseñas de Parallels Plesk Panel
TRAS EL CAMBIO MASIVO DE CONTRASEÑAS, DEBE ELIMINAR TODOS LOS REGISTROS DE LA TABLA 'sessions' DE LA BASE DE DATOS psa CON LA VERSIÓN NUEVA DEL SCRIPT DE RESTABLECIMIENTO MASIVO DE CONTRASEÑAS:
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

Si dispone de un servidor Parallels Plesk Panel 8.x o Parallels Plesk Panel 9.x, le recomendamos migrarlo a Parallels Plesk Panel 11.Parallels Plesk Panel 11 no presenta esta vulnerabilidad de seguridad. 

Tenga en cuenta que debería realizarse una migración, no una actualización, ya que el proceso de migración puede revertirse fácilmente. 

Asimismo, durante la migración, el servidor Parallels Plesk Panel de origen sigue estando operativo junto con los sitios registrados en este, mientras que una actualización podría ocasionar una interrupción de los servicios. 

Información adicional

Si en su servidor instaló la microactualización o corrección correspondiente, la incidencia de seguridad será corregida en su servidor.

Esperamos que esta información le ayude a proteger los datos presentes en su servidor de ataques malintencionados.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article
Save as PDF