Article ID: 113818, created on Jun 11, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 9.2 for Linux/Unix
  • Plesk 9.0 for Linux/Unix

情報

2012 年 5 月 3 日、PHP-CGI にコードのリモート実行の脆弱性があることが公開されました(CVE-2012-1823)。
これは重大な脆弱性であり、PHP-CGI が含まれるソフトウェアに影響を与えます。
PHP-FastCGI はこの脆弱性の影響を受けません。

Parallels Plesk Panel (PP) for Windows バージョン 10.4 およびそれ以前のバージョンは影響を受けません

PP for Linux バージョン 9.3~10.4 は PHP-CGI のコードのリモート実行の脆弱性の影響を受けません。これは、特別な cgi_wrapper スクリプトを使用しているためです。
PP for Linux バージョン 8.6 およびそれ以前のバージョンは影響を受けません。これは、mod_php のみを使用しているためです。

PP for Linux バージョン 9.0~9.2.3 には脆弱性がある可能性があります

解決策

PP for Linux 9.0~9.2.3 で問題を是正するためには、以下の回避策を実施してください。

1. PP のバージョンを、脆弱性の影響を受けない最新バージョンに更新することが強く推奨されます。

Parallels のサポート終了(EOL)ポリシーは以下のページで公開されています。
http://sp.parallels.com/jp/products/plesk/lifecycle

2. PP のアップグレードが難しい場合、CGI ラッパの使用が回避策として推奨されます。

Parallels では、サーバを自動更新してラッパを設定するスクリプトをご用意しています。
添付されたスクリプトアーカイブ cve-2012-1823-wa_pp.tgz を、Parallels Plesk Panel for Linux 9.0~9.2.3 のインストールされたサーバにダウンロードします。
アーカイブを展開し、スクリプトを実行します。

# wget http://kb.sp.parallels.com/Attachments/20000/Attachments/cve-2012-1823-wa_pp.tgz
# tar xfz cve-2012-1823-wa_pp.tgz
# cd cve-2012-1823-wa_pp
# bash setup.sh

3. また、各ウェブサイトの .htaccess ルールによって問題を回避することもできます。

RewriteEngine on
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

この回避策では、このような構成をウェブスペースごとに設定する必要があり、数千件ものウェブスペースをホスティングしているような場合は作業が複雑になります。

追加情報

この脆弱性は、Parallels Operations Automation を使用して作成したウェブサイトに影響を与えます。詳細は、以下の KB 記事を参照してください。

113814 PHP-CGI remote code execution vulnerability (CVE-2012-1823) in Parallels Automation

Attachments

56797cefb1efc9130f7c48a7d1db0f0c 11a46d8a188d618564f4f0cead9a50f3 a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 6ef0db7f1685482449634a455d77d3f4 4f57df935e9acf8d18830757d2346419

Email subscription for changes to this article