Faille de sécurité dans Plesk et ProFTPd

[Julia41]

Je vous copie un mail :

Bonsoir,
Une faille de sécurité importante dans ProFTPD permet l'exécution
de code en root. Les versions depuis la 1.3.2 sont vulnérables.
La dernière version 1.3.3c corrige la faille.

Les releases OVH ne sont pas impactées.

PLESK/PARALLELS
---------------
Les utilisateurs de Plesk Panel 9.5 et 10 sous Linux et de SMB
sont impactés et doivent mettre IMPÉRATIVEMENT ET RAPIDEMENT à 
jour leur Plesk, via l'interface web ou en ligne de commande :
--------------------------------------------------------------
/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base
--------------------------------------------------------------

C'est très simple et rapide. C'est après que cela se complique:
après la mise à jour, vous serez toujours en version 1.3.2e. Le
numéro de la version ne change pas ... Par contre la faille de
sécurité est corrigé ...

Donc pour vérifier que vous avez bien le dernier micro-patch de 
Plesk, il faut taper:
--------------------------------------------------------------
# cat /root/.autoinstaller/microupdates.xml
--------------------------------------------------------------

Ce qui vous donne:
--------------------------------------------------------------
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<patches>
    <product id="plesk" version="9.5.2">
        <patch version="6" timestamp="" />
    </product>
</patches>
--------------------------------------------------------------
Et cherchez dedans la version, dans l'exemple "version 6"

En donc si vous avez:
- Plesk 9.5.2
  la version doit être #6
- Plesk 9.5.3
  la version doit être #1
- Plesk 10.0.1
  la version doit être #1
- SMB
  la version doit être #1

Si vous avez la bonne version, bravo ! Vous avez gagné les
étoiles de l'admin de vendredi soir :)

En savoir plus:

http://bugs.proftpd.org/show_bug.cgi?id=3521
http://www.parallels.com/products/plesk/ProFTPD

 

[cthierry]

On peut ylie sur le site Parallels plesk:

VERSIONS PARALLELS PLESK PANEL AFFECTEES
Parallels Plesk Panel 9.5x et 10 incluent cette vulnérabilité (aucune version précédente n'avait ce composant). Parallels Small Business Panel 10.2 est également concerné par ce problème.

PRESENTATION DE LA VULNERABILITE ET DE L'EXPLOIT
Une faille dans le serveur FTP ProFTPD populaire permet potentiellement à des pirates informatiques non authentifiés de compromettre un serveur. Ce problème est causé par un dépassement de tampon dans la fonction pr_netio_telnet_gets() pour évaluer les séquences TELNET IAC.

Donc les anciennes versions (8.6....) ne sont pas impactées par cette faille.

 

[techron]

C'est Plesk

We are indeed seeing some issues when upgrading to Plesk 10 from Plesk 9. Notably, it appears as though the PPP (Parallels Power Panel) cannot be active when Plesk 10 is installed. I am not privy to Parallels' motives behind this, but of the several upgrades we've done for clients, we were unable to activate the PPP on top of Plesk 10.

Additionally, the interface has changed again, and many customers have responded negatively to this. Our only recourse is to restore from backup, as downgrading from a major Plesk release "in-place" is not healthy or feasible.