Article ID: 113321, created on Feb 27, 2012, last review on Aug 12, 2014

  • Applies to:
  • Plesk for Linux/Unix

Описание

Эта статья содержит максимально подробную информацию об уязвимости удаленного доступа в Plesk Panel. 

Вводная информация

Анонимный злоумышленник может удаленно нанести вред серверу Plesk.

Затронутые версии

Версии Plesk, затронутые этой уязвимостью:

  • Plesk для Linux / Windows 7.x
  • Plesk для Linux / Windows 8.x
  • Plesk для Linux / Windows 9.x
  • Plesk для Linux / Windows 10.0 - 10.3.1

Компания Parallels очень серьезно относится к безопасности своих партнеров и рекомендует как можно скорее принять меры, описанные далее в этой статье.
Мы понимаем, что в данный момент может быть невозможно выполнить полное обновление до последней версии Parallels Plesk Panel (11), в которой уязвимость отсутствует, поэтому для каждой затронутой основной версии нами были выпущены микрообновления, позволяющие устранить проблему безопасности без обновления системы. 

Проверка уязвимости сервера

Чтобы проверить, подвержен ли ваш сервер вышеупомянутой уязвимости, смотрите, пожалуйста, следующую статью:

  • 113424 Как убедиться, что ваш сервер Plesk Panel 8.x, 9.x, 10.0, 10.1, 10.2 или 10.3 не подвержен уязвимости

Исправление уязвимости сервера

Если ваш сервер подвержен уязвимости, вам следует как можно скорее установить одно из следующих микрообновлений:
 

Версия Plesk Windows Linux
  специальное исправление микрообновление специальное исправление микрообновление
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

 

Подробную инструкцию по установке микрообновлений смотрите в следующей статье: 
  • 9294 Установка микрообновлений в Parallels Plesk Panel 8.69.5.x, 10.x и Parallels Small Business Panel

Если панель Plesk установлена в Virtuozzo

Если ваша копия Plesk находится в виртуальной среде Parallels Virtuozzo Containers, установку микрообновлений или обновленных шаблонов PVC следует выполнять согласно этим статьям:

  • 113441 Как установить последние микрообновления Parallels Plesk Panel в контейнере PVC
  • 113407 Новые шаблоны PVC для Plesk 8.6.0, 9.5, 10.0, 10.1, 10.2 для Windows и дистрибутивы Plesk 8.6.0 и 9.5.5 для Windows с исправлениями безопасности
  • 7110 Автоматическая установка микрообновлений не работает, если панель Parallels Panel для Linux установлена в контейнерах с помощью шаблона Virtuozzo

Рекомендации

Для большей надежности мы рекомендуем дополнительно обезопасить ваш сервер и подписки клиентов путем сброса паролей всех учетных записей Plesk с помощью специального сценария, созданного командой Plesk: 

  • 113391 Сценарий для группового сброса паролей Plesk
ПОСЛЕ ИЗМЕНЕНИЯ ПАРОЛЕЙ ОБЯЗАТЕЛЬНО УДАЛИТЕ ВСЕ ЗАПИСИ ИЗ ТАБЛИЦЫ 'sessions' В БАЗЕ ДАННЫХ psa С ПОМОЩЬЮ НОВОЙ ВЕРСИИ СЦЕНАРИЯ ДЛЯ ГРУППОВОГО ИЗМЕНЕНИЯ ПАРОЛЕЙ:
# php -d open_basedir= -d safe_mode=0 plesk_password_changer.php `cat /etc/psa/.psa.shadow` --clean-up-sessions

В случае с серверами Plesk 8.x и Plesk 9.x мы рекомендуем выполнить миграцию на Plesk 11. В Plesk Panel 11.x эта уязвимость безопасности отсутствует. 
ОБРАТИТЕ ВНИМАНИЕ на то, что необходима именно миграция, а не обновление, так как процесс миграции легко обратим. 
Более того, во время миграции исходный сервер Parallels Plesk Panel и созданные на нем сайты продолжают работать в обычном режиме, тогда как обновление может привести к простою в работе. 

Дополнительная информация

Установка соответствующего микрообновления или специального исправления устранит проблему безопасности на вашем сервере.

Надеемся, эта информация поможет вам защитить данные на вашем сервере от вредоносных атак.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838

Email subscription for changes to this article
Save as PDF