Kritische SolusVM Lücke

[Neogreen]

Hey,

Ich wollte euch eben mal auf Folgendes Hinweisen an die Hoster die hier SolusVM Benutzen:
http://www.webhostingtalk.com/showthread.php?t=1276286&page=2
http://localhost.re/p/solusvm-11303-vulnerabilities

Damit lässt sich Root zugriff erlangen, fix dafür:

Confirmed with Phil that simply removing /usr/local/solusvm/www/centralbackup.php will clear the vulnerability.

Neo

 

[IP-Projects.de]

Sicherheitslücke in SolusVM

http://localhost.re/p/solusvm-11303-vulnerabilities

Sieht ziemlich übel aus.

 

[Mr.Check]

Confirmed with Phil that simply removing /usr/local/solusvm/www/centralbackup.php will clear the vulnerability.

Heute kam auch ein dringendes Sicherheits-Update heraus. Damit dürfte sich das Problem auch erledigt haben. Trotzdem Danke für den Hinweis!

 

[vb-server]

Die ersten hats schon erwischt, uA ramnode

Aber die Lücke ist eine echte Schande für SolusVM.

 

[IP-Projects.de]

Naja, wo Menschen arbeiten ... Zumindest haben sie schnell reagiert.

 

[vb-server]

Ja, aber Daten von POST/GET ungeprüft an eine SQL Query zu übergeben... Ich spar mir den Kommentar

 

[vb-server]

RamNode hat ein Statement veröffentlicht. Offenbar wurden einige VPS-Nodes komplett wiped, so wie's aussieht auch meine VM

 

[s24!]

Die ersten hats schon erwischt, uA ramnode

Kennst du weitere betroffene Hoster?

RamNode hat ein Statement veröffentlicht. Offenbar wurden einige VPS-Nodes komplett wiped, so wie's aussieht auch meine VM

Hab's auch schon bei Twitter gelesen... Das ist echt mies.

 

[IP-Projects.de]

Naja sowas kann schnell gehen. Viele setzen mittlerweile SolusVM ein (wir nicht), es gibt ja auch keine wirklich gute Alternative außer selbst bauen oder viel Geld bezahlen.

 

[Deleted member 11691]

Viele setzen mittlerweile SolusVM ein

\o/
Kann ich bestätigen. Bin von SolusVM einfach überzeugt und auch der Security-Bug macht mir nichts aus und sollte auch nicht anderen ausmachen, wenn man regelmäßig auch Backups schiebt.

 

[[netcup] Felix]

Security-Bug macht mir nichts aus und sollte auch nicht anderen ausmachen, wenn man regelmäßig auch Backups schiebt.

Ein Backup schützt allerdings nicht vor Diebstahl von Daten....

 

[Deleted member 11691]

Gut das stimmt dann allerdings, wenn man so doof ist und die Funktionen aktiviert/aufrufbar lässt, die man überhaupt nicht braucht. Zum Beispiel benutze ich ein eigenes Backup-System das überhaupt nicht für SolusVM geeignet ist und daher habe ich stets jede Datei, die ich nicht benötige, mit einer Datei mit Inhalt "<?php header('Location: /'); ?>" ausgetauscht.

 

[tomasini]

Viele setzen mittlerweile SolusVM ein (wir nicht), es gibt ja auch keine wirklich gute Alternative außer selbst bauen oder viel Geld bezahlen.

Openstack (http://www.openstack.org/) wäre eine mögliche Alternative.