Article ID: 113321, created on Mar 1, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

Premessa

Questo articolo è creato per fornire l'informazione più esplicita riguardo la vulnerabilità di sicurezza remota di Parallels Plesk Panel. 

Informazioni di base

Un attacco anonimo può compromettere remotamente il server Parallels Plesk Panel.

Versioni coinvolte

Versioni di Parallels Plesk Panel coinvolte dalla vulnerabilità:

  • Plesk per Linux / Windows 7.x
  • Plesk per Linux / Windows 8.x
  • Parallels Plesk Panel per Linux / Windows 9.x
  • Parallels Plesk Panel per Linux / Windows 10.0 - 10.3.1

Parallels prende seriamente la sicurezza dei nostri partner e incoraggia i partner a seguire le azioni che si consigliano in basso il prima possibile. Parallels capisce che attualmente potrebbe non essere plausibile eseguire un aggiornamento completo all'ultima release di Parallels Plesk Panel 11, la quale non è coinvolta. Quindi è stato rilasciato un set di Micro-aggiornamenti per ogni versione principale coinvolta, con la finalità di risolvere il problema di sicurezza senza necessità di un aggiornamento di sistema. 

Verifica di Vulnerabilità del Server

Al fine di verificare se un server è soggetto alla vulnerabilità di sicurezza previamente annunciata, consultare l'articolo che descrive lo script creato dal team di servizi di Parallels Plesk Panel per automatizzare la procedura di verifica:

  • 113424 Come accertarsi che Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 o 10.3 non è vulnerabile

Correzione di vulnerabilità del server

Se il tuo server è vulnerabile, accertati di applicare uno dei seguenti micro-aggiornamenti immediatamente:
 

Versione Plesk Panel Windows Linux
  Correz. personaliz. Microagg. Correz. personaliz. Microagg.
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

La guida completa per applicare microaggiornamenti è reperibile al link: 
  • 9294 Utilizzare microaggiornamenti in Parallels Plesk Panel 8.6, 9.5.x, 10.x e Parallels Small Business Panel

Informazioni specifiche su Parallels Plesk Panel per Parallels Virtuozzo Containers

Se l'installazione di Parallels Plesk Panel viene eseguita all'interno di un ambiente virtuale di Parallels Virtuozzo Containers, i Micro-aggiornamenti i modelli di PVC aggiornati devono essere installati usando la seguente guida:

  • 113441 Come installare gli ultimi microaggiornamenti per Parallels Plesk Panel in un container PVC Linux
  • 113407 Nuovi modelli PVC per Plesk 8.6.0, 9.5, 10.0, 10.1, 10.2 Windows e kit di distribuzione regolare per le versioni Plesk 8.6.0 e 9.5.5 Windows con correzioni di sicurezza inclusi.
  • 7110 I microaggiornamenti non vengono applicati automaticamente se Parallels Plesk Panel per Linux è installato all'interno di container mediante un modello di Virtuozzo.

Migliori pratiche

Nonostante, per evitare problemi, si consiglia di proteggere il proprio server e gli abbonamenti dei clienti resettando le password di tutti di account di Parallels Plesk Panel, utilizzando lo script del team di servizi di Parallels Plesk Panel: 

  • 113391 Script per il reset massivo della password di Parallels Plesk Panel
DOPO IL CAMBIO MASSIVO DI PASSWORD È NECESSARIO RIMUOVERE TUTTI I REGISTRI DALLA TABELLA 'sessioni' DEL DATABASE psa CON LA NUOVA VERSIONE DELLO SCRIPT DI RESET MASSIVO DELLA PASSWORD:
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

Se si utilizza un server Plesk 8.x or Plesk 9.x si consiglia di migrarlo a Plesk 11. Plesk Panel 11 non presenta tale vulnerabilità di sicurezza. 
TENERE PRESENTE che si deve effettuare una migrazione e non un aggiornamento, perché la procedura di migrazione può essere facilmente ripristinata. 
Inoltre, durante la migrazione, il server di origine Parallels Plesk Panel continua a funzionare insieme ai siti registrati in esso, mentre un aggiornamento potrebbe causare il tempo di inattività nei servizi. 

Informazioni aggiuntive

Se sul server è stato installato il corrispondente microaggiornamento o correzione personalizzata, si risolverà il problema di sicurezza sul server.

Speriamo che questa informazione vi sia di aiuto per proteggere i dati sul server da attacchi maligni.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article
Save as PDF