Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

Antecedentes
 
Se han detectado vulnerabilidades en Parallels Plesk Panel relacionadas con el aumento de privilegios y que se describen en VU#310500 y CVE-2013-0132, CVE-2013-0133 (CVSS punto 4.4 - http://www.kb.cert.org/vuls/id/310500 )

Se ha confirmado la vulnerabilidad de las siguientes versiones de Parallels Plesk Panel para Linux: 9.5, 10.x, 11.x. Si bien no se conoce la existencia de ataques que aprovechen dichas vulnerabilidades, desde Parallels recomendamos encarecidamente que se tomen medidas al respecto y se apliquen las actualizaciones de seguridad (o soluciones temporales) indicadas en este artículo.
 

Información detallada
 
Las versiones 9.x-11.x de Parallels Plesk Panel con un servidor web Apache ejecutando mod_php, mod_perl, mod_python, etc. resultan vulnerables a la escalada de privilegios de los usuarios autenticados. Los usuarios autenticados son aquellos que disponen de credenciales de acceso a Parallels Plesk Panel (sus clientes, revendedores o empleados, por ejemplo).
 
Las instancias de Parallels Plesk Panel que dispongan de un servidor web Apache configurado con Fast CGI (PHP, perl, python, etc.) o CGI (PHP, perl, python, etc.) NO resultan vulnerables.
 
Por razones de seguridad, Parallels siempre ha recomendado el uso de los protocolos FastCGI (para PHP, python, perl, etc.) y CGI (perl, python, PHP, etc.) con mod_php, mod_perl, mod_python, etc.


Estado actual

Actualmente, Parallels está desarrollando actualizaciones de seguridad. Las fechas estimadas para la publicación de estas actualizaciones son las siguientes:
 
•    Parallels Plesk Panel 11: resuelta en MU#46 (se muestra como Corrección de seguridad (en rojo) en todas las versiones de Parallels Panel 11) - consulte el artículo KB115944 para obtener más información
•    Parallels Plesk Panel 10.4.4: resuelta en MU#49 (se muestra como Actualización (MU) en Parallels Panel) - consulte el artículo KB115945 para obtener más detalles
•    Parallels Plesk Panel 9.5.4:  resuelta en MU#28 - consulte el artículo KB115946 para más información
•    Versiones de Parallels Plesk Panel 10 antes de la versión 10.4.4:  próximamente


Solución temporal de aplicación inmediata

Deshabilite mod_php, mod_python y mod_perl y utilice los protocolos FastCGI y / o CGI, que no se ven afectados por esta vulnerabilidad de seguridad.

A continuación se muestra un ejemplo de cómo pasar de mod_php a fast_cgi para todos los dominios existentes:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Una vez se haya publicado la corrección de la incidencia, Parallels recomienda que se evite el uso de estos módulos de Apache (mod_php, mod_python y mod_perl) y que se utilicen los modos FastCGI o CGI para mejorar la seguridad en el servidor web.

Si desea obtener más información, consulte la Guía de administración avanzada de Parallels Plesk Panel para Linux Advanced, sección Mejora de la seguridad (EN).

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article
Save as PDF