Article ID: 113321, created on Feb 24, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

免責条項

本記事は、Plesk Panel のリモートセキュリティに関する脆弱性について明確な情報を提供するために作成されたものです。

背景

匿名の攻撃者により Plesk サーバがリモートで悪用される危険性があります。

影響を受けるバージョン

この脆弱性の影響を受ける Plesk バージョン:

  • Plesk for Linux / Windows 7.x
  • Plesk for Linux / Windows 8.x
  • Plesk for Linux / Windows 9.x
  • Plesk for Linux / Windows 10.0 - 10.3.1

Parallels は、パートナー様のセキュリティ対策に真剣に取り組んでおります。つきましては、以下に示す推奨アクションを一刻も早く実施するようお願いいたします。
最新バージョンの Parallels Plesk Panel 11 ではこの脆弱性が解決していますが、今すぐこのバージョンにアップグレードすることがお客様にとって現実的ではない可能性があることを踏まえ、各メジャーバージョン用に一連のマイクロアップデートをご用意しています。これにより、システムをアップグレードすることなくセキュリティの問題を解決することが可能です。 

サーバの脆弱性チェック

お使いのサーバが、弊社の発表したセキュリティ上の脆弱性による影響を受けるかどうかを確認するためには、以下の KB 記事を参照し、Plesk サービスチームが作成した検証手順自動化スクリプトを使用してください。

  • 113424 お使いの Plesk Panel 8.x、9.x、10.0、10.1、10.2、10.3 に脆弱性がないことを確認するには

サーバの脆弱性の修正方法

サーバに脆弱性がある場合、以下のいずれかのマイクロアップデートを直ちに適用してください。
 

Plesk バージョン Windows: Linux
  手作業での修正 マイクロアップデート 手作業での修正 マイクロアップデート
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

マイクロアップデートの適用方法については、以下のリンク先で詳細を確認してください。 
  • 9294 Parallels Plesk Panel 8.6.x、9.5.x、10.x、および Parallels Small Business Panel のマイクロアップデートを使用するには

Virtuozzo 環境内の Plesk に関する注記

Plesk を Parallels Virtuozzo Containers 仮想環境内で実行している場合、次のガイドに従ってマイクロアップデートまたは更新済みの PVC テンプレートをインストールする必要があります。

  • 113441 PVC Linux コンテナに Parallels Plesk Panel 用の最新マイクロアップデートをインストールするには
  • 113407 New PVC templates for Plesk 8.6.0, 9.5, 10.0, 10.1, 10.2 Windows and regular distribution kit for Plesk 8.6.0 and 9.5.5 Windows versions with included security fixes
  • 7110 Parallels Panel for Linux がコンテナ内に Virtuozzo テンプレートによってインストールされている場合、マイクロアップデートは自動的に適用されません

ベストプラクティス

より安全性を高めるためには、Product サービスチームが作成した以下のスクリプトを実行して、すべての Plesk アカウントのパスワードをリセットし、サーバおよび顧客の契約をさらに保護することをお勧めします。 

  • 113391 Plesk 一括パスワードリセットスクリプト
パスワードの一括変更後、新しいバージョンのパスワード一括リセットスクリプトを使用して、psa データベースの 'sessions' 表のすべてのレコードを削除する必要があります。
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

Plesk 8.x または Plesk 9.x サーバを使用している場合、Plesk 11移行することをお勧めします。Plesk Panel 11 では、このセキュリティ脆弱性は解消されています。 
注: アップグレードではなく移行を行ってください。これは、移行プロセスであれば簡単にロールバックできるためです。 
さらに、移行を実行中は、移行元の Parallels Plesk Panel サーバは登録されたサイトも含めて稼働を続けるのに対し、アップグレードの場合はサービスにダウンタイムが発生する場合があります。 

追加情報

対応するマイクロアップデートをサーバにインストールするか、手作業で修正を加えると、セキュリティ上の問題が解決します。

この情報が、お客様のサーバのデータを悪意ある攻撃から保護する一助となれば幸いです。

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article