Article ID: 115942, created on Apr 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux

Вводная информация
 
В Parallels Plesk Panel обнаружены уязвимости повышения привилегий - смотрите описание в статьях VU#310500 and CVE-2013-0132, CVE-2013-0133 (CVSS score 4.4 - http://www.kb.cert.org/vuls/id/310500).

Уязвимости подвержены следующие версии Parallels Plesk Panel для Linux: 9.5, 10.x, 11.x. Несмотря на то, что данных о существовании эксплойта для этих уязвимостей пока нет, мы настоятельно рекомендуем вам установить обновления безопасности или воспользоваться обходным решением согласно инструкциям в этой статье.
 

Подробности
 
В Parallels Plesk Panel 9.x-11.x с веб-сервером Apache, использующим модули mod_php, mod_perl, mod_python и т.д., обнаружена уязвимость повышения привилегий авторизованными пользователями. Авторизованные пользователи - это пользователи, имеющие доступ в Parallels Plesk Panel (например, ваши клиенты, посредники или сотрудники).
 
Экземпляры Parallels Plesk Panel с веб-сервером Apache, использующим Fast CGI (PHP, perl, python и т.д.) или CGI (PHP, perl, python и т.д.), НЕ ПОДВЕРЖЕНЫ этой уязвимости.
 
Из соображений безопасности мы по-прежнему рекомендуем использовать Fast CGI (для PHP, python, perl и т.д.) и CGI (perl, python, PHP и т.д.) вместо mod_php, mod_perl, mod_python и т.д.


Текущий статус

В данный момент компания Parallels активно работает над выпуском обновлений безопасности. Ожидаемые сроки выпуска обновлений:
 
•    Plesk 11: исправлено в MU#46 (помечено красным цветом как обновления безопасности во всех установках Plesk 11) - подробности смотрите в статье KB115944.
•    Plesk 10.4.4: исправлено в MU#49 (помечено как микрообновление) - подробности смотрите в статье KB115945.
•    Plesk 9.5.4:  исправлено в MU#28 - подробности смотрите в статье KB115946.
•    Plesk от 10 до 10.4.4: появится в ближайшее время.


Обходное решение

Отключите модули mod_php, mod_python и mod_perl и используйте протоколы Fast CGI и/или CGI, т.к. они не подвержены данной уязвимости.

Ниже приведен пример того, как включить mod_php вместо fast_cgi для всех существующих доменов:

# mysql -uadmin --skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e "select name from domains where htype = 'vrt_hst';" | awk -F \| '{print $1}' | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

Даже после выхода исправления для этой проблемы старайтесь не использовать эти модули Apache (mod_php, mod_python и mod_perl), а заменить их на более безопасный вариант: Fast CGI или CGI.

Дополнительные подробности смотрите, пожалуйста, в руководстве Parallels Plesk Panel for Linux Advanced Administration Guide, раздел Enhancing Security.

56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f

Email subscription for changes to this article
Save as PDF