Aktuelle Patches wurden veröffentlicht!
Parallels Plesk Panel in der Version 9 und in der Version 10 besitzen derzeit eine sehr kritische Sicherheitslücke im FTP-Server ProFTPD. Die aktuelle Version von ProFTPD 1.3.3c behebt dieses Sicherheitsloch. Hier eine kurze Fehlerbeschreibung von ProFTPD:
Sicherheits-Update für ProFTPD-FTP-Server
A flaw in the popular ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. Ein Fehler in der beliebten FTP-Server ProFTPD potentiell ermöglicht es Angreifern nicht authentifizierte, einen Server anzugreifen. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences. Das Problem wird durch einen Pufferüberlauf in der pr_netio_telnet_gets ()-Funktion für die Bewertung TELNET IAC Sequenzen verursacht.
ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. ProFTPD ist in der Lage Verarbeitung TELNET IAC-Sequenzen auf Port 21, die Sequenzen aktivieren oder deaktivieren bestimmte Optionen nicht durch den Telnet-oder FTP-Protokoll selbst unterstützt. The buffer overflow allows attackers to write arbitrary code to the application's stack and launch it. Der Pufferüberlauf ermöglicht es Angreifern, beliebigen Code zu schreiben der Anwendung Stack und starten Sie es. Updating to version 1.3.3c of ProFTPD solves the problem. Update auf Version 1.3.3c von ProFTPD löst das Problem.
The update also fixes a directory traversal vulnerability which can only be exploited if the "mod_site_misc" module is loaded. Das Update behebt auch ein Directory-Traversal-Schwachstelle, die nur ausgenutzt werden, wenn die "mod_site_misc"-Modul geladen werden. This flaw could allow attackers with write privileges to leave their permitted path and delete directories or create symbolic links outside of the path. Dieser Fehler könnte ein Angreifer mit Schreibrechten auf ihre zulässige Pfade zu verlassen und löschen Verzeichnisse oder symbolische Links außerhalb des Pfades. The module is not loaded or compiled by default. Das Modul ist nicht geladen oder erstellt standardmäßig.
Further information about the update can be found in the release notes and in the NEWS file. Weitere Informationen zum Update finden Sie in den Release Notes und in der NEWS-Datei gefunden werden. As the developers have classified the release as an "important security update", all users are advised to install it as soon as possible. Wie die Entwickler die neue Version als ein "wichtiges Sicherheits-Update" eingestuft haben, werden alle Benutzer empfohlen, sie so bald wie möglich installieren.
Um den Fehler zu beheben können Plesk Nutzer auf die Plesk Panel Oberfläche gehen und unter folgendem Pfad die aktuellen Updates installieren:
Parallels Plesk Panel 9.5x: “Home” -> “Updates” -> Select the Panel version which has updates -> click “Install”
Parallels Plesk Panel 10.x:“Server Management” -> “Tools & Utilities” -> “Updates” -> “Update Components” -> click “Continue”
Tags:
- plesk 11 5 proftpd deaktivieren
- plesk compromise
- plesk 10 proftp starten
- plesk panel proftpd
- plesk panel proftpd