oles@ovh.net
12.11.10, 18:56
Guten Tag,
eine große Sicherheitslücke in ProFTPD ermöglicht die Ausführung von Codes als Root. Die Versionen ab 1.3.2 sind unsicher. Die letzte Version 1.3.3c korrigiert die Sicherheitslücke.
Die OVH Releases sind nicht betroffen.
PLESK/PARALLELS
---------------
Die Nutzer von Plesk Panel 9.5 und 10 unter Linux und SMB sind betroffen und müssen UNBEDINGT UND SOFORT ihr Plesk per Webinterface oder per Kommandozeile aktualisieren:
--------------------------------------------------------------
/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base
--------------------------------------------------------------
Es ist sehr einfach und schnell. Anschließend wird es schwieriger: Nach der Aktualisierung haben Sie immer noch die Version 1.3.2e. Die Versionsnummer ändert sich nicht. Die Sicherheitslücke ist jedoch behoben.
Um also sicherzustellen, dass Sie den neuesten Micro-Patch von Plesk haben, geben Sie bitte Folgendes ein:
--------------------------------------------------------------
# cat /root/.autoinstaller/microupdates.xml
--------------------------------------------------------------
Dies ergibt:
--------------------------------------------------------------
--------------------------------------------------------------
Suchen Sie dann in der Version, im Beispiel „Version 6“
Sollten Sie also eine der folgenden Versionen haben:
- Plesk 9.5.2
muss die Version #6 sein
- Plesk 9.5.3
muss die Version #1 sein
- Plesk 10.0.1
muss die Version #1 sein
- SMB
muss die Version #1 sein
Mehr Informationen:
http://bugs.proftpd.org/show_bug.cgi?id=3521
http://www.parallels.com/products/plesk/ProFTPD
Mit freundlichen Grüßen,
Octave
eine große Sicherheitslücke in ProFTPD ermöglicht die Ausführung von Codes als Root. Die Versionen ab 1.3.2 sind unsicher. Die letzte Version 1.3.3c korrigiert die Sicherheitslücke.
Die OVH Releases sind nicht betroffen.
PLESK/PARALLELS
---------------
Die Nutzer von Plesk Panel 9.5 und 10 unter Linux und SMB sind betroffen und müssen UNBEDINGT UND SOFORT ihr Plesk per Webinterface oder per Kommandozeile aktualisieren:
--------------------------------------------------------------
/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base
--------------------------------------------------------------
Es ist sehr einfach und schnell. Anschließend wird es schwieriger: Nach der Aktualisierung haben Sie immer noch die Version 1.3.2e. Die Versionsnummer ändert sich nicht. Die Sicherheitslücke ist jedoch behoben.
Um also sicherzustellen, dass Sie den neuesten Micro-Patch von Plesk haben, geben Sie bitte Folgendes ein:
--------------------------------------------------------------
# cat /root/.autoinstaller/microupdates.xml
--------------------------------------------------------------
Dies ergibt:
--------------------------------------------------------------
--------------------------------------------------------------
Suchen Sie dann in der Version, im Beispiel „Version 6“
Sollten Sie also eine der folgenden Versionen haben:
- Plesk 9.5.2
muss die Version #6 sein
- Plesk 9.5.3
muss die Version #1 sein
- Plesk 10.0.1
muss die Version #1 sein
- SMB
muss die Version #1 sein
Mehr Informationen:
http://bugs.proftpd.org/show_bug.cgi?id=3521
http://www.parallels.com/products/plesk/ProFTPD
Mit freundlichen Grüßen,
Octave