Article ID: 113321, created on Feb 22, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

Avis

Cet article a été écrit pour vous procurer les informations les plus explicites concernant la vulnérabilité en matière de sécurité à distance dans Parallels Plesk Panel. 

A savoir

Un attaquant anonyme peut compromettre à distance le serveur Parallels Plesk Panel.

Versions affectées

Versions de Parallels Plesk Panel qui étaient affectées par la vulnérabilité :

  • Plesk pour Linux / Windows 7.x
  • Plesk pour Linux / Windows 8.x
  • Parallels Plesk Control Panel pour Linux / Windows 9.x
  • Parallels Plesk Panel pour Linux / Windows 10.0 - 10.3.1

Pour Parallels, la sécurité de nos partenaires est un sujet sérieux. C'est pourquoi il vous encourage vivement à exécuter les procédures ci-dessous recommandées aussi rapidement que possible. Parallels comprend que, pour le moment, il n'est peut-être pas concevable d'exécuter une mise à niveau complète vers la toute dernière version, à savoir, Parallels Plesk Panel 11 qui n'est pas affecté. Ceci pris en compte, Parallels met à votre disposition tout un ensemble de micro-mises à jour sorties pour chaque version majeure affectée qui résoudront ce problème de sécurité sans devoir exécuter une mise à jour du système. 

Vérification de la vulnérabilité du serveur

Pour vérifier si votre serveur est sujet à la vulnérabilité sécuritaire annoncée précédemment, veuillez vous reporter à l'article qui décrit le script créé par l'équipe des Services Parallels Plesk Panel pour automatiser la procédure de vérification :

  • 113424 Comment vous assurer que votre Parallels Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 ou 10.3 n'est pas vulnérable ?

Correctif face à la vulnérabilité du serveur

Si votre serveur est vulnérable, assurez-vous d'appliquer immédiatement l'une des micro-mises à jour suivantes :
 

Version de Parallels Plesk Panel Windows Linux
  Correctif personnalisé Micro-Mise à jour Correctif personnalisé Micro-Mise à jour
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Parallels Plesk Control Panel 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Parallels Plesk Control Panel 9.3 KB112303 - KB113313 -
Parallels Plesk Control Panel 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Parallels Plesk Panel 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Parallels Plesk Panel 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Parallels Plesk Panel 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

Pour voir le guide complet en vue d'appliquer les micro-mises à jour, veuillez utiliser le lien ci-dessous : 
  • 9294 Utiliser les micro-mises à jour dans Parallels Plesk Panel 8.6, 9.5.x, 10.x, et Parallels Small Business Panel.

Spécificité de Parallels Plesk Panel pour Parallels Virtuozzo Containers

Si votre installation de Parallels Plesk Panel tourne dans l'environnement virtuel Parallels Virtuozzo Containers, les micro-mises à jour ou les templates PVC mis à jour doivent être installées à l'aide du guide suivant :

  • 113441 Comment installer les toutes dernières micro-mises à jour de Parallels Plesk Panel dans un conteneur PVC Linux
  • 113407 Nouveaux templates PVC pour Parallels Plesk Panel 8.6.0, 9.5, 10.0, 10.1, 10.2 pour Windows et Kit de distribution standard pour Parallels Plesk Panel 8.6.0 et 9.5.5 pour Windows avec des correctifs sécuritaires inclus
  • 7110 Les micro mises à jour ne s'appliquent pas automatiquement si Parallels Panel pour Linux est installé dans les conteneurs à l'aide du template de Parallels Virtuozzo Containers

Meilleures pratiques

Cependant, pour être tout à fait sûr, nous vous conseillons de sécuriser votre serveur et les abonnements de vos clients en  réinitialisant les mots de passe pour tous les comptes Parallels Plesk Panel à l'aide du script de l'équipe des Services Parallels Plesk Panel : 

  • 113391 Script de réinitialisation des mots de passe en masse de Parallels Plesk Panel
APRES LE CHANGEMENT EN MASSE DES MOTS DE PASSE, VOUS DEVEZ SUPPRIMER TOUS LES ENREGISTREMENTS A PARTIR DU TABLEAU 'sessions' DE LA BASE DE DONNEES psa AVEC LA NOUVELLE VERSION DU SCRIPT DE REINITIALISATION DES MOTS DE PASSE EN MASSE :
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

Si vous avez un serveur Parallels Plesk Panel  8.x ou Parallels Plesk Panel 9.x , nous vous conseillons de le migrer vers Parallels Plesk Panel 11. Parallels Plesk Panel 11 n'est en aucun cas affecté par cette vulnérabilité sécuritaire. 
REMARQUE : une migration doit être exécutée et non une mise à niveau, car vous pouvez facilement revenir en arrière avec le processus de migration. 
En outre, pendant la migration, le serveur source Parallels Plesk Panel continue de fonctionner avec les sites enregistrés dans ce dernier. Une mise à niveau pourrait entraîner l'arrêt de fonctionnement des services. 

Autres informations

Si une micro-mise à jour correspondante ou un correctif personnalisé était installé sur votre serveur, cela résoudrait le problème sur votre serveur.

Nous espérons que ces informations vous aideront à sécuriser les données sur votre serveur contre toutes attaques malveillantes.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article
Save as PDF