Faille de sécurité dans Plesk et ProFTPd

Julia41 · 12 Novembre 2010

Je vous copie un mail :

Code:

Bonsoir,
Une faille de sécurité importante dans ProFTPD permet l'exécution
de code en root. Les versions depuis la 1.3.2 sont vulnérables.
La dernière version 1.3.3c corrige la faille.

Les releases OVH ne sont pas impactées.

PLESK/PARALLELS
---------------
Les utilisateurs de Plesk Panel 9.5 et 10 sous Linux et de SMB
sont impactés et doivent mettre IMPÉRATIVEMENT ET RAPIDEMENT à 
jour leur Plesk, via l'interface web ou en ligne de commande :
--------------------------------------------------------------
/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base
--------------------------------------------------------------

C'est très simple et rapide. C'est après que cela se complique:
après la mise à jour, vous serez toujours en version 1.3.2e. Le
numéro de la version ne change pas ... Par contre la faille de
sécurité est corrigé ...

Donc pour vérifier que vous avez bien le dernier micro-patch de 
Plesk, il faut taper:
--------------------------------------------------------------
# cat /root/.autoinstaller/microupdates.xml
--------------------------------------------------------------

Ce qui vous donne:
--------------------------------------------------------------
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<patches>
    <product id="plesk" version="9.5.2">
        <patch version="6" timestamp="" />
    </product>
</patches>
--------------------------------------------------------------
Et cherchez dedans la version, dans l'exemple "version 6"

En donc si vous avez:
- Plesk 9.5.2
  la version doit être #6
- Plesk 9.5.3
  la version doit être #1
- Plesk 10.0.1
  la version doit être #1
- SMB
  la version doit être #1

Si vous avez la bonne version, bravo ! Vous avez gagné les
étoiles de l'admin de vendredi soir :)

En savoir plus:

http://bugs.proftpd.org/show_bug.cgi?id=3521
http://www.parallels.com/products/plesk/ProFTPD

cthierry · 13 Novembre 2010

On peut ylie sur le site Parallels plesk:

VERSIONS PARALLELS PLESK PANEL AFFECTEES
Parallels Plesk Panel 9.5x et 10 incluent cette vulnérabilité (aucune version précédente n'avait ce composant). Parallels Small Business Panel 10.2 est également concerné par ce problème.

PRESENTATION DE LA VULNERABILITE ET DE L'EXPLOIT
Une faille dans le serveur FTP ProFTPD populaire permet potentiellement à des pirates informatiques non authentifiés de compromettre un serveur. Ce problème est causé par un dépassement de tampon dans la fonction pr_netio_telnet_gets() pour évaluer les séquences TELNET IAC.
Cliquez pour agrandir...

Donc les anciennes versions (8.6....) ne sont pas impactées par cette faille.

techron · 13 Novembre 2010

C'est Plesk

We are indeed seeing some issues when upgrading to Plesk 10 from Plesk 9. Notably, it appears as though the PPP (Parallels Power Panel) cannot be active when Plesk 10 is installed. I am not privy to Parallels' motives behind this, but of the several upgrades we've done for clients, we were unable to activate the PPP on top of Plesk 10.

Additionally, the interface has changed again, and many customers have responded negatively to this. Our only recourse is to restore from backup, as downgrading from a major Plesk release "in-place" is not healthy or feasible.
Cliquez pour agrandir...

Similar Threads - Faille sécurité Plesk	Forum	Date
Outils pour tester d'éventuelles failles de sécurité sur notre site?	Développement d'un site Web ou d'une appli mobile	20 Janvier 2015
Google trouve la grande faille de sécurité de Win XP	Google : l'entreprise, les sites web, les services	14 Juin 2010
Attention faille de sécurité avec Phpmyvisits	Administration d'un site Web	4 Janvier 2010
[RESOLU] Faille de sécurité PHPBB	Administration d'un site Web	20 Juin 2008
Multi-ftp d'ovh = faille de sécurité?	URL Rewriting et .htaccess	15 Janvier 2008
Faille de sécurité sur Adsense ???	AdSense	11 Novembre 2007
Faille de securite chez Google	Google : l'entreprise, les sites web, les services	15 Juin 2007
Url rewriting et failles de sécurité PHP	Débuter en référencement	20 Septembre 2006
Faille securite sur spip	Administration d'un site Web	20 Février 2006
Faille de sécurité sur Google Desktop	Google : l'entreprise, les sites web, les services	5 Décembre 2005
[php] Faille de sécurité include()	Administration d'un site Web	4 Janvier 2005
Une faille dans les URL de Google	Référencement Google	10 Janvier 2019
Google ferme Google+ (pour les particuliers) suite à la découverte d'une faille	Google+	8 Octobre 2018
Une faille dans Google exploitée par des hackers pour voler le référencement : que faire ?	Référencement Google	20 Avril 2016
Test faille javascript - Forbidden	Administration d'un site Web	3 Décembre 2015
fail2ban / iptables contre le scan de failles	Administration d'un site Web	8 Juin 2015
Tests d'injection sql et tous types de failles	Développement d'un site Web ou d'une appli mobile	17 Avril 2015
Faille ajax possible?	Développement d'un site Web ou d'une appli mobile	11 Février 2015
La faille Heartbleed	Administration d'un site Web	14 Avril 2014
Faille Google, Google fail !!	Référencement Google	22 Août 2013