Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

Situation
 
Des problèmes de vulnérabilité au niveau de l'élévation des privilèges ont été découverts dans Parallels Plesk Panel. Ces problèmes de vulnérabilité sont décrits dans les articles VU#310500, CVE-2013-0132 et CVE-2013-0133 (CVSS score 4.4 - http://www.kb.cert.org/vuls/id/310500).

Ces problèmes de sécurité sont confirmés pour les versions suivantes de Parallels Plesk Panel pour Linux : 9.5, 10.x et 11.x. Aucune attaque liée à cette faille de sécurité n'est connue à ce jour. Toutefois, Parallels recommande vivement d'appliquer les mises à jour de sécurité (ou les autres solutions temporaires) décrites dans cet article.
 

Détails
 
Parallels Plesk Panel versions 9.x à 11.x avec un serveur Web Apache exécutant mod_php, mod_perl, mod_python, etc. sont vulnérables à l'élévation des privilèges des utilisateurs authentifiés. Les utilisateurs authentifiés sont ceux qui disposent d'identifiants de connexion à Parallels Plesk Panel (p. ex. : vos clients, revendeurs ou employés).
 
Les instances de Parallels Plesk Panel sur lesquelles un serveur Web Apache est configuré avec Fast CGI (PHP, Perl, Python, etc) ou CGI (PHP, Perl, Python, etc) NE SONT PAS vulnérables.
 
Pour des raisons de sécurité, Parallels a recommandé et continue de recommander l'utilisation de Fast CGI (pour PHP, Python, Perl, etc) et CGI (Perl, Python, PHP, etc) au lieu de mod_php, mod_perl, mod_python, etc.


Statut actuel

Parallels met tout en œuvre pour résoudre rapidement ces problèmes de sécurité. Dates de publication pour ces mises à jour :
 
•    Parallels Plesk Panel 11 : correctif disponible dans la mise à jour MU#46 (s'affiche en rouge comme une résolution sécuritaire, dans toutes les versions de Parallels Plesk Panel 11). Pour en savoir plus, consultez l'article KB115944 (en anglais).

•    Parallels Plesk Panel 10.4.4 : correctif disponible dans la mise à jour MU#49 (s'affiche en tant que mise à jour, MU, dans Parallels Plesk Panel). Pour en savoir plus, consultez l'article KB115945
•    Parallels Plesk Panel 10.3.1 : correctif disponible dans la mise à jour MU#20. Pour en savoir plus, consultez l'article KB115959.
•    Parallels Plesk Panel 10.2.0 : correctif disponible dans la mise à jour MU#19. Pour en savoir plus, consultez l'article KB115958.
•    Parallels Plesk Panel 10.1.1 : correctif disponible dans la mise à jour MU#24. Pour en savoir plus, consultez l'article KB115957.
•    Parallels Plesk Panel 10.0.1 : correctif disponible dans la mise à jour MU#18. Pour en savoir plus, consultez l'article KB115956.

•    Parallels Plesk Panel 9.5.4 : correctif disponible dans la mise à jour MU#28. Pour en savoir plus, consultez l'article KB115946.

•    Parallels Plesk Panel 8.x : affecté, produit en fin de de vie (EOL). Pour en savoir plus sur la mise à niveau/migration de Parallels Plesk Panelconsultez le Guide d'installation, de mise à niveau, de migration et de transfert de. Parallels Plesk Panel 11.0.


Solution immédiate

Désactivez mod_php, mod_python et mod_perl et utilisez Fast CGI et/ou CGI, qui ne sont pas affectés par ces failles de sécurité.

Par exemple, voici comment procéder pour passer de mod_php à fast_cgi pour tous les domaines existants :

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Une fois que le correctif sera publié, Parallels vous recommande tout de même de ne pas utiliser les modules Apache suivants : mod_php, mod_python et mod_perl. À la place, Parallels vous recommande d'utiliser les modes Fast CGI ou CGI pour bénéficier d'une meilleure sécurité sur Apache.

Pour en savoir plus, consultez le Guide d'administration avancé de Parallels Plesk Panel pour Linux, section Amélioration de la sécurité (en anglais).

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article
Save as PDF