15. November 2010

Exploit- und Sicherheitsrisiko beim Ausführen des ProFTPD Remote-Codes

PROBLEMLÖSUNGEN FÜR DAS SICHERHEITSRISIKO UND EXPLOIT

Parallels hat die Micro-Update Patch Funktionalität in Plesk 9.510x, 10.2.x und Small Business Panel 10.2 entwickelt, um dieses Exploit zu beheben. Um dieses Problem zu beheben, können Sie den Parallels-AutoInstaller ausführen oder überprüfen Sie den Update-Bereich für Plesk Panel 9.5x, Plesk 10 oder Small Business Panel 10.2. Dies ist eine Dateiersetzung, die im Gegensatz zu einer neuen Installation schnell und zuverlässig funktioniert. Gehen Sie in der Benutzeroberfläche (GUI) folgendermaßen vor:

Parallels Plesk Panel 9.5x: "Start" -> "Updates" -> Wählen Sie die Panel-Version aus für die Updates vorhanden sind -> klicken Sie auf "Installieren"
Parallels Plesk Panel 10.x: "Serververwaltung" -> "Tools & Dienstprogramme" -> "Updates" -> "Komponenten aktualisieren" -> klicken Sie auf "Fortsetzen"
Parallels Small Business Panel: "Server" -> "Updates" -> "Fortsetzen"

Unten auf der Seite werden Ihnen diese Schritte detailliert in Screenshots angezeigt.

Diese ProFTPD-Problemlösungen sind auch über den Parallels AutoInstaller für Plesk 9.52, 9.53 und Plesk 10.01 verfügbar. Sie sollten den Autoinstaller schon als Bestandteil von Plesk heruntergeladen haben. Verwenden Sie die folgenden Parameter

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller

oder:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

$PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id ppsmbe --select-release-current --reinstall-patch --install-component base

Hinweis! Die Variable "$PRODUCT_ROOT_D" in dem Befehl sollte durch ihren Wert ersetzt werden, siehe http://kb.parallels.com/en/952)

Für das Parallels Small Business Panel verwenden Sie folgende Parameter:
$PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id ppsmbe --select-release-current --reinstall-patch --install-component base

Details dazu finden Sie weiter unten.

Dieses Sicherheitsrisiko betrifft Parallels Plesk Panel 9.5x und 10 (keiner anderen vorigen Versionen verfügen über diese Komponente). Auch Parallels Small Business Panel 10.2 ist betroffen.

Eine Sicherheitslücke bei dem häufig genutzten ProFTPD FTP-Servers ermöglicht es nicht authentifizierten Angreifern unter Umständen die Sicherheit des Servers zu gefährden. Das Problem wird durch einen Pufferüberlauf in der Funktion pr_netio_telnet_gets() für die Evaluierung von TELNET IAC-Sequenzen verursacht.

ProFTPD-Bugreport: http://bugs.proftpd.org/show_bug.cgi?id=3521

ProFTPD kann TELNET IAC-Sequenzen auf dem Port 21 verarbeiten; die Sequenzen aktivieren und deaktivieren bestimmte Optionen, die nicht von Telnet oder dem FTP-Protokoll unterstützt werden. Der Pufferüberflauf ermöglicht es Angreifern, beliebigen Code in Applikationen zu schreiben und zu starten. Das Update auf die Version 1.3.3c von ProFTPD beseitigt dieses Problem.Das Update behebt zudem die Sicherheitslücke Directory Traversal, die nur ausgenutzt werden kann, wenn das Modul "mod_site_misc" belastet wird. Diese Schwachstelle ermöglicht es Angreifern mit Schreibrechten, den zulässigen Pfad zu verlassen und Verzeichnisse zu löschen oder symbolische Links außerhalb des Pfads zu erstellen. Das Modul wird nicht standardmäßig geladen oder kompiliert.

SCHRITT-FÜR-SCHRITT-ANLEITUNG ZUR VERWENDUNG VON MICRO-UPDATES IN PLESK 9.5x und 10.x

HINWEIS: Zur Installation von Micro Updates in VZ-Templates besuchen Sie bitte folgenden Link: http://kb.parallels.com/7110

Es gibt zwei Möglichkeiten, um die Micro-Updates für Parallels Plesk Panel und das ProFTPd-Update zu installieren.

1. Verwenden Sie die CLI:
   
   # $PRODUCT_ROOT_D/admin/sbin/autoinstaller
   
   Hinweis! Die Variable "$PRODUCT_ROOT_D" in dem Befehl sollte durch ihren Wert ersetzt werden, siehe http://kb.parallels.com/en/952)
   
   

   oder:

   # $PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base Hinweis! Die Variable "$PRODUCT_ROOT_D" in dem Befehl sollte durch ihren Wert ersetzt werden, siehe http://kb.parallels.com/en/952)



2. Verwenden Sie die GUI von Parallels Plesk Panel:
   
   a) Parallels Plesk Panel 9.5x: "Start" -> "Updates" -> Wählen Sie die Panel-Version aus für die Updates vorhanden sind -> klicken Sie auf "Installieren"
   
   
   
   
   

   b) Parallels Plesk Panel 10.x: "Serververwaltung" -> "Tools & Dienstprogramme " -> "Updates" -> "Komponenten aktualisieren" -> klicken Sie auf "Fortsetzen"

   
   
   

   c) Parallels Small Business Panel: "Server" -> "Updates" -> "Fortsetzen"

SO ÜBERPRÜFEN SIE, OB DIE MICRO-UPDATES IN DEM SYSTEM INSTALLIERT WURDEN

In der CLI müssen Sie die Datei /root/.autoinstaller/microupdates.xml überprüfen:

# cat /root/.autoinstaller/microupdates.xml

Sie sollte die neueste Patch-Version beinhalten:

Dieser Text bedeutet, das MU Nr. 1 in Parallels Plesk Panel installiert wurde. Beispiel: Wenn dort steht <patch version="6" timestamp="" />, dann bedeutet das, dass MU Nr. 6 installiert wurde.