Plesk 9.5.2 sowie 9.5.3 Sicherheits Problem FTP

DJTobi · #1 09.11.2010, 13:02

Bei Plesk 9.5.x gibt es ein Problem mit dem ProFTPD.
Am 27.10.2011 ist bekannt geworden, dass in ProFTPD
zwischen Version 1.3.2rc2 und 1.3.3c die Möglichkeit
besteht, mit root Rechten Code mittels eines
Buffer Overflows auszuführen. Seit GESTERN gibt es
dafür einen Remote Root Exploit!

Den Exploit gibts für jeden verfügbar
unter
http://www.STRENG GEHEIM !!!!!!!!!
(besser ist es ...)

Seitens Parallels (Plesk) gibt es auch noch
KEIN Hotfix, obwohl das Problem seit über
einer Woche bekannt ist:
http://forum.parallels.com/showthread.php?p=427866

Forum Beiträge werden von Parallels derzeit nicht mehr freigeschaltet...

Ich habe jetzt auf die 10.1 upgedatet, da gibt es diese Lücke anscheinend nicht mehr.
Ein Downgrade auf 9.3 würde das Problem auch vorerst schließen.

Für Leute die auf Parallels Hotfix warten, sollten per Firewall den FTP Port schließen.

paul24 · #2 09.11.2010, 17:08

Hab bei Strato 2 V-Server, die beide gestern und heute schon angegriffen wurden.
Extrem hohe CPU Last bei 3 proftpd Prozessen über "top" sichtbar.

Kam dann irgendwann weder über Plesk noch Putty noch drauf.

Ein reboot über https://config.stratoserver.net/ im Recovery Menue half.
Danach war erstmal wieder ein paar Stunden Ruhe.

Wann ein Plesk Update mit proftp 1.3.3c für Plesk 9.52/3 kommt, weiss Strato noch nicht.
Gestern wussten Sie noch von überhaupt nichts.
Heute bekommen Sie ständig Anrufe wg. genau dieses Problems meinte der freundliche Support Mitarbeiter.

Dawn · #3 09.11.2010, 17:36

Bei mir hat sich ProftpD auch heute unter enormer Last aufgehängt. Ich hoffe es gibt möglichst schnell einen Bugfix. Hat irgend jemand eine Idee was Debian-Benutzer dagegen unternehmen können (ausser ProFTP grundsätzlich zu deaktivieren)?

BruceLee · #4 09.11.2010, 17:42

Mein Server ist sicher bezüglich dieser Lücke

Für alle die ein RedHat Derivat verwenden gibt es hier die neueste sichere Version: http://www6.atomicorp.com/channels/atomic/

Exemplarisch Centos-5-x86_64:
http://www6.atomicorp.com/channels/a...art.x86_64.rpm

Bierteufel · #5 09.11.2010, 17:43

Für die RHEL / CENT OS User via Atomic Repo verfügbar:

http://www.atomicorp.com/news/security-update.html

paul24 · #6 09.11.2010, 17:45

Bin zwar Anfänger im Umgang mit Putty aber vielleicht hilft dies trotzdem:

Habe versucht mit Yast proftpd upzudaten.
(Strato VServer, Suse 11.1, Plesk 9.53)
Dabei kam folgende Fehlermeldung:
# yast
//sbin/yast: line 27: //lib/YaST2/bin/yast2-funcs: No such file or directory
//sbin/yast: line 238: set_lang_from_sysconfig: command not found
//sbin/yast: line 267: check_ncurses: command not found package
yast2-qt is not installed
Something is wrong with the YaST user interface.Habe danach geggooglet und hier eine Lösung gefunden:

http://www.adriansauer.com/2009/05/3...n-opensuse-11/

Vielleicht hilft das ja Einigen weiter....

Hoffe nun dass Parallels reagiert und ein Update über Plesk bereitstellt.

Bierteufel · #7 09.11.2010, 17:50

@BruceLee - warst schneller :-)

Zitat:

Credits: We would like to thank BruceLee for bringing this issue to our attention, and the proftpd team for their rapid response in resolving this issue.

der gleiche BruceLee ?

BruceLee · #8 09.11.2010, 17:57

yup, same BruceLee different forum

Dawn · #9 09.11.2010, 18:21

Und Debian Benutzer sind moentan schlicht ausgeliefert?

voodoo44 · #10 09.11.2010, 18:53

Vermutlich hilft aktuell nur portftpd herunterfahren und via SCP verbinden.

Leider weiß ich nicht, wie ich meinen ProFTPD stoppe - denn in /etc/init.d/ ist kein proftpd drin - lediglich ein "procps" - vermutlich bringt der mir aber garnichts.

Scheint so, als müsste man den PSA-Dienst stoppen.

DJTobi · #11 09.11.2010, 18:55

Block doch einfach den Port per Firewall

BruceLee · #12 09.11.2010, 19:45

psa-proftpd wird über xinetd.d ausgeführt.
Das von Atomic zur Verfügung gestellte Paket ist nicht offiziell von Parallels.

Wer will kann sich die Source RPM hier runterladen und sich daraus z.B. selbst ein .deb Paket erstellen.
http://www6.atomicorp.com/channels/source/psa-proftpd/

Vielleicht will das ein Debianer hier machen. Mit Alien oder "manuell"?

tobe · #13 10.11.2010, 14:36

Hier die Quick&Dirty Methode um ProFTPD zu aktualisieren (Ubuntu/Debian).

Code:

apt-get install libpam0g-dev
wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.gz
tar xzfv proftpd-1.3.3c.tar.gz
cd proftpd-1.3.3c
./configure
make
mv /usr/sbin/proftpd /usr/sbin/proftpd.old
cp proftpd /usr/sbin/proftpd

Neustart von xinetd ist nicht notwendig.

Ich selbst war mir übrigens zunächst nicht im Klaren, dass ProFTPD im Plesk-Paket enthalten ist. Das Parallels so lange mit dem Update braucht ist eine echt schwache Leistung. Ich möchte nicht wissen wie viele tausende Server jetzt dadurch kompromittiert werden/wurden.

DJTobi · #14 10.11.2010, 14:44

Endlich ne Anleitung für Debian :-)

Danke tobe !

Bei Parallels steht glaube an erster Linie die Entwicklung neuer Versionen.

Im Parallels Forum wurden ja nicht einmal mehr alle Beiträge freigeschaltet, bestimmt aus Angst ?

voodoo44 · #15 10.11.2010, 15:18

Das ist natürlich auch eine gute Idee, tobe ...
Da kann ich tatsächlich meinen FTP-Server wieder aktivieren ... dass ich da nicht von selbst drauf gekommen bin, das per Hand zu aktualisieren -.-'