Article ID: 113818, created on May 18, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk 9.2 for Linux/Unix
  • Plesk 9.0 for Linux/Unix

Informations

Le 3 mai 2012, une Vulnérabilité de l'exécution du code à distance PHP-CGI a été dévoilée au public (CVE-2012-1823).
Il s'agit d'une vulnérabilité critique affectant les logiciels qui contiennent PHP-CGI.
PHP-FastCGI n'est pas vulnérable à cet exploit.

Parallels Plesk Panel (PP) pour Windows versions 10.4 et antérieures ne sont PAS affectées.

PP pour Linux versions 9.3 - 10.4 ne sont PAS affectées par la vulnérabilité de l'exécution du code à distance PHP-CGI en raison de l'utilisation du script spécial cgi_wrapper.
PP pour Linux versions 8.6 et versions antérieures  ne sont PAS affectées en raison de leur utilisation de mod_php uniquement.

PP pour Linux versions 9.0 - 9.2.3 risquent d'être vulnérables.

Résolution

Pour résoudre ce problème sur PP pour Linux 9.0 - 9.2.3, appliquez l'une des solutions suivantes :

1. Il est vivement recommandé de mettre à jour PP vers la version la plus récente qui n'est pas vulnérable.

La politique de fin de vie de Parallels est disponible ici : http://sp.parallels.com/fr/products/plesk/lifecycle

2. Le wrapper CGI est la solution conseillée pour contourner le problème si une mise à jour n'est pas possible.

Parallels a préparé un script pour mettre à jour automatiquement le serveur avec le wrapper.
Téléchargez le script archivé cve-2012-1823-wa_pp.tgz en pièce jointe sur le serveur avec Parallels Plesk Panel pour Linux 9.0 - 9.2.3.
Dézippez le fichier et exécutez-le :

# wget http://kb.sp.parallels.com/Attachments/20000/Attachments/cve-2012-1823-wa_pp.tgz
# tar xfz cve-2012-1823-wa_pp.tgz
# cd cve-2012-1823-wa_pp
# bash setup.sh

3.  Vous pouvez également contourner le problème avec les règles .htaccess pour chaque site Web.

RewriteEngine on
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

Cette solution requière une telle configuration à appliquer par espace Web ce qui complique le tout lorsque des milliers d'espaces Web sont hébergés.

Informations supplémentaires

Notez que cette vulnérabilité affecte les sites Web créés à l'aide de Parallels Operations Automation. Pour en savoir plus, lisez l'article suivant :

113814 Vulnérabilité de l'exécution du code à distance PHP-CGI (CVE-2012-1823) dans Parallels Automation

Attachments

56797cefb1efc9130f7c48a7d1db0f0c 11a46d8a188d618564f4f0cead9a50f3 a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 6ef0db7f1685482449634a455d77d3f4 4f57df935e9acf8d18830757d2346419

Email subscription for changes to this article
Save as PDF