Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

Origini
 
Sono state scoperte vulnerabilità di privilege escalation (sorpasso delle autorizzazioni) per Parallels Plesk Panel, le quali vengono descritte in VU#310500 e CVE-2013-0132, CVE-2013-0133 (CVSS score 4.4 - http://www.kb.cert.org/vuls/id/310500 )

Le seguenti versioni di Parallels Plesk Panel per Linux sono state confermate quali vulnerabili: 9.5, 10.x, 11.x. Sebbene non sia stato rilevato nessuno sfruttamento conosciuto per le vulnerabilità summenzionate, Parallels consiglia fortemente di agire e applicare gli aggiornamenti di sicurezza (o workaround) descritti in questo articolo.
 

Dettagli
 
Le versioni Parallels Plesk Panel 9.x-11.x con server web Apache che eseguono mod_php, mod_perl, mod_python, ecc, sono vulnerabili al privilege escalation di utenti autenticati. Gli utenti autenticati sono utenti che hanno effettuato l'accesso a Parallels Plesk Panel (per esempio: clienti, rivenditori e impiegati).
 
Le istanze di Parallels Plesk Panel con il server web Apache configurato con Fast CGI (PHP, perl, python, ecc) o CGI (PHP, perl, python, ecc) NON sono vulnerabili.
 
Per motivi di sicurezza, Parallels ha consigliato e continua a consigliare l'utilizzo di Fast CGI (per PHP, python, perl, ecc) e CGI (perl, python, PHP, ecc) su mod_php, mod_perl, mod_python, ecc.


Stato corrente

Parallels sta lavorando attivamente sugli aggiornamenti di sicurezza. Le date stimate di rilascio di tali aggiornamenti sono le seguenti:
 
•    Parallels Plesk Panel 11: Correzione in MU#46 (viene presentato come Soluzione di sicurezza – rosso – in tutte le versioni di Parallels Plesk Panel 11) - vedi KB115944 per maggiori informazioni
•    Parallels Plesk Panel 10.4.4: Correzione in MU#49 (viene presentato come Aggiornamento – MU – in Parallels Panel) - vedi KB115945 per maggiori informazioni
•    Parallels Plesk Panel 9.5.4:  correzione in MU#28 - vedi KB115946 per maggiori informazioni
•    Versioni di Parallels Plesk Panel 10 precedenti alla 10.4.4:  disponibile fra breve.


Soluzione immediata

Disabilita mod_php, mod_python e mod_perl e usa Fast CGI e/o CGI, le quali non sono coinvolte da questa vulnerabilità di sicurezza.

Di seguito, un esempio su come cambiare mod_php in fast_cgi per tutti i domini esistenti:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Parallels consiglia di evitare l'utilizzo di questi moduli apache (mod_php, mod_python e mod_perl) anche dopo la pubblicazione della correzione di problemi. Si consiglia invece di usare le modalità Fast CGI o CGI per migliorare la sicurezza su Apache.

Per ulteriori informazioni, consultare la Guida all'amministrazione avanzata di Parallels Plesk Panel per Linux, sezione Ottimizzazione della sicurezza.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article
Save as PDF