Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

背景
 
Parallels Plesk Panel で権限昇格の脆弱性が特定されました。この脆弱性については、VU#310500、CVE-2013-0132、CVE-2013-0133(CVSS スコア 4.4 - http://www.kb.cert.org/vuls/id/310500)にて説明されています。

脆弱性が確認されている Parallels Plesk Panel for Linux のバージョンは 9.5、10.x、11.x です。上記脆弱性の悪用が報告されていませんが、Parallels は本記事で説明するセキュリティアップデート(または回避策)の適用を強く推奨します。


詳細
 
Apache ウェブサーバにて mod_php、mod_perl、mod_python を実行している
Parallels Plesk Panel バージョン 9.x~11.x に、認証済みユーザの権限昇格に関する脆弱性があります。認証済みユーザとは、Parallels Plesk Panel へのログイン権限があるユーザです(顧客、リセラー、従業員など)。

Apache ウェブサーバにて Fast CGI(PHP、perl、python など)または CGI(PHP、perl、python など)を利用している Parallels Plesk Panel インスタンスはこの脆弱性の影響を受けません

セキュリティ上の理由から、Parallels では以前から mod_php、mod_perl、mod_python より Fast CGI(PHP、python、perl など)および CGI(perl、python、PHP など)を利用することを推奨しています。


現在の状況

Parallels では現在、これらの問題に対するセキュリティアップデートに鋭意取り組んでおります。これらのアップデートの提供スケジュールは次のようになっています。
 
•    Plesk 11: MU#46 で修正(すべての Plesk 11 バージョンで Security fix – red と表示)。詳細は KB115944 を参照してください。

•    Plesk 10.4.4: MU#49 で修正(Panel で Update – MU と表示)。詳細は KB115945 を参照してください。
•    Plesk 10.3.1: MU#20 で修正。詳細は KB115959 を参照してください。
•    Plesk 10.2.0: MU#19 で修正。詳細は KB115958 を参照してください。
•    Plesk 10.1.1: MU#24 で修正。詳細は KB115957 を参照してください。
•    Plesk 10.0.1: MU#18 で修正。詳細は KB115956 を参照してください。

•    Plesk 9.5.4: MU#28 で修正。詳細は KB115946 を参照してください。

•    Plesk 8.x: 影響を受けますが、既に EOL を迎えています。Panel のアップグレード/移行については、『インストール、アップグレード、移行、移管ガイド Parallels Plesk Panel 11.0』を参照してください。


暫定的な回避策

mod_phpmod_python、および mod_perl を無効化し、Fast CGI および/または CGI を使用します。これらは当該セキュリティ脆弱性の影響を受けません。

すべてのドメインに対して mod_phpfast_cgi に切り替える方法の例:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Parallels は、当問題に対する修正の提供後も、Apache セキュリティの向上のために、これらの Apache モジュール(mod_phpmod_pythonmod_perl)の使用を避け、Fast CGI モードまたは CGI モードを使用することを推奨します。

追加情報は「Parallels Plesk Panel for Linux Advanced Administration Guide, Enhancing Security section」もご覧ください(英語での提供となります。ご了承ください)。

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article