society
Registered User
Folgendes habe ich soeben per Mail bekommen:
Ihre Kundennummer: XXX
Ihre Vertragsnummer: XXX
Hallo Herr XXX,
sofern Sie auf Ihrem Server die Konfigurationssoftware "Plesk" einsetzen,
beachten Sie bitte:
Für alle Versionen von Plesk 8 (außer 8.1.1) ist aktuell eine
Sicherheitslücke bekannt geworden, durch die über eine so genannte
SQL-Injection Ihr Server kompromittiert werden kann.
Bitte prüfen Sie deshalb umgehend Ihre Konfiguration. Die von Ihnen genutzte
Version wird Ihnen beim Einloggen in Plesk angezeigt. Als erste Lösung spielen
Sie dann den von SWsoft zur Verfügung gestellten Hotfix ein:
KB #2169 - [FIX] SQL Injection vulnerability (Englische Seite)
Betroffene Versionen
====================
Bitte wählen Sie die Datei, die Ihrer Version entspricht und setzen Sie diese
in der nachfolgenden Schritt-für-Schritt-Anleitung unter Punkt 2 ein:
Für Plesk v8.0.0 und v8.0.1:
http://download1.swsoft.com/Plesk/Hotfix/PleskUnix/8.0.1/114298/class.Session.php
Für Plesk v8.1.0:
http://download1.swsoft.com/Plesk/Hotfix/PleskUnix/8.1.0/114298/class.Session.php
Für Plesk 8.2.0:
http://download1.swsoft.com/Plesk/Hotfix/PleskUnix/8.2.0/114298/class.Session.php
Schritt-für-Schritt-Anleitung:
==============================
1. Loggen Sie sich über SSH auf Ihren Server ein.
2. Laden Sie den passenden Hotfix herunter, indem Sie zuvor den Link im Beispiel
mit Ihrer oben ausgesuchten passenden Version ersetzen:
# wget http://download1.swsoft.com/Plesk/Hotfix/PleskUnix/8.2.0/114298/class.Session.php
3. Benennen Sie die alte Version der Datei um und schreiben die neue Datei in das
entsprechende Verzeichnis:
# cp /usr/local/psa/admin/plib/class.Session.php /usr/local/psa/admin/plib/class.Session.php.old
# cp ./class.Session.php /usr/local/psa/admin/plib/class.Session.php
4. Starten Sie den Dienst neu:
# /usr/local/psa/admin/bin/httpsdctl restart
Weitere Informationen:
======================
Bitte beachten Sie, dass Sie als Administrator Ihres Systems voll für die Auswirkungen
von Sicherheitslücken verantwortlich sind!
Die 1&1 Internet AG kann daher für rechtliche Probleme durch illegale Aktivitäten,
die über Ihren Server vorgenommen werden, keinerlei Haftung übernehmen.
Haben Sie weitere Fragen? Unser Support hilft Ihnen gerne weiter.
Mit freundlichen Grüßen
Ihr Server-Team
1&1 Internet AG
=================================================================================
# Absender: 1&1 Internet AG, Elgendorfer Str. 57, 56410 Montabaur
1&1 Internet AG - Impressum