Plesk 9.5.2 sowie 9.5.3 Sicherheits Problem FTP

[catwiesel]

@tobe

Danke für Deine Anleitung, hat super funktioniert. FTP-Zugriff geht einwandfrei....
Auswirkungen zwecks der fehlenden Module habe ich keine festgestellt....

 

[paul24]

Proftp Update ist jetzt auch über Plesk verfügbar

Bei mir wird es seit gerade angezeigt...(Plesk 9.53 /Updates)

 

[Dawn]

Habe es sofort (problemlos) eingespielt. Kann jemand bestätigen dass damit das Loch geschlossen ist?

 

[voodoo44]

Installiert allerdings wieder die 1.3.2e - nun die Frage ... nochma via Hand auf 1.3.3c updaten, oder kann man da Parallels vertrauen?

Vorerst lasse ich mal 1.3.2e drauf - deaktiviere den FTP aber nur dann, wenn er gebraucht wird.

 

[Dawn]

Es kann auch eine gepatchte 1.3.2e sein.. Das ist eben genau meine Frage. FTP deaktivieren kann icht nahezu umöglich, da mich sonst meine Kunden in die Pfanne hauen.. (und allen SFTP-Zugriff auf den Server geben möchte ich auch auf keinen Fall).

 

[siradlib]

Ich habe eben per Autoinstaller auch auf 9.5.3 aktualisiert, auch bei mir wurde ein ProFTPd installiert, der sich als "220 ProFTPD 1.3.2e Server (ProFTPD)" meldet.
Hat jemand noch einen "alten" (Plesk-) ProFTPd 1.3.2e installiert, und könnte mal md5sum laufen lassen? Die Prüfsumme der neuen (Plesk-) Version lautet:

716f73b6f55b6b0a50cfcc5d9d01020f  /usr/sbin/proftpd

Ich aktualisiere jetzt nochmal von Hand auf 1.3.3c.

 

[DHMH]

Alte version (noch nicht gepatcht)
12263c0bb21ac89c6ec5602f7a6aa693 /usr/sbin/proftpd

 

[catwiesel]

mal ne dumme Frage:

hab noch Plesk 9.5.2.
Hab den ProFTPD aktualisiert auf die 1.3.3c.

Wenn ich nun das Update von Plesk drüberlaufen lasse, was habe ich dann?
Wird der "zurückgestuft" oder bleibt der aktuelle erhalten?

Klar ist mir sicher, das ich den dann wieder aktualisieren kann......

 

[JaEgErmEistEr]

Du hast dann den alten wieder auf deiner Kiste weil Plesk alles patcht was es patchen kann und Plesk schert sich in der Regel nicht um Versionsnummern

 

[siradlib]

DHMH, vielen Dank für die Info bzw. MD5-Summe!
Im Parallels Plesk-Forum heißt es zum Thema "Versionsnummer von ProFTPd nach dem Microupdate" übrigens:

In short, the psa-proftpd version is named 1.3.2e but uses the proftpd compiled version 1.3.3c.

(Ist allerdings die Aussage eines Users, nicht von Parallels!)
Finde ich ziemlich bescheiden, dass Parallels hier so ein Verwirrspiel mit den Versionsnummern betreibt.

 

[catwiesel]

Du hast dann den alten wieder auf deiner Kiste weil Plesk alles patcht was es patchen kann und Plesk schert sich in der Regel nicht um Versionsnummern

Habs mir fast gedacht..... Danke jedoch

 

[coolnes2003]

Ich stellte heute morgen auch fest, dass der vServer von Server4you Down war. Die haben mir erzählt das er noch Dateien auf den Server kopiert haben soll. Ich kann übrigen auch nicht per Plesk oder ssh drauf. Mitarbeiter musste im Recovery neu starten. wenn einer die Dateinen weiss bitte mal posten. Danke

 

[Unchained]

Gleicher hier bei meinem S4U vserver.

Filename: /dev/shm/.x/.f/httpd
MD5Summe: f5b1420933dc0f210a2664e23a58c039

Bottyp: EnergyMech - IRC bot - [url]http://www.energymech.net/[/url]

Wahrscheinlicher Installationszeitpunkt: 2010-11-11T20:22:45+0100

Vollstaendige Prozessumgebung:
-----------------------------------------------------------------------------
PWD=/dev/shm/.x/.f
SHLVL=3
_=./httpd

Proftpd habe ich jetzt erstmal manuell ausser Gefecht gesetzt.

 

[dorkus]

Also ich hab jetzt mal folgendes auf dem Suse 11 system versucht:
> wget http://autoinstall.plesk.com/PSA_10.0.1/microupdates/MU1/dist-rpm-SuSE-11.0-x86_64/proftpd

> cp proftpd /usr/sbin/proftpd

aber bei
> proftpd -v kommt 1.3.3

> rpm -qa | grep proftpd
psa-proftpd-1.3.2e-suse11.0.build95100410.12
psa-proftpd-xinetd-1.3.2e-suse11.0.build95100410.12

> md5sum /usr/sbin/proftpd
c44754f77bdfef72baab783309920c79 /usr/sbin/proftpd

Hab ich irgendwas falsch kopiert??

Wie muss die richtige md5sum lauten?

Bitte helft mir

Danke!

 

[nero]

Wer Debian 5 und Plesk 9.x / 10.x hat kann mit

/usr/local/psa/admin/sbin/autoinstaller --select-release-current --upgrade-installed-components

Updaten Plesk, Patch wurde grade rausgegeben.

 

[Huschi]

Finde ich ziemlich bescheiden, dass Parallels hier so ein Verwirrspiel mit den Versionsnummern betreibt.

Das ist kein Verwirrspiel. Sondern hat was mit den Paket-Managern zu tun.
Oder möchtest Du, das beim nächsten Upgrade per apt-get ein hässlicher großer Fehler gemeldet wird und er sagt, er kann nichts mehr für Dich tun?

huschi.

 

[NM78]

Bei Hosteurope gibt es jetzt einen FAQ Artikel dazu:

https://faq.hosteurope.de/index.php?cpid=16625

Habe alle Server so geupdatet (Ubuntu, Suse)...

 

[evilduffp]

Funktioniert das Microupdate denn jetzt auch für die Plesk-Version 9.5.1 ? Ich werde da nicht so ganz schlau draus.

Ich konnte auf meinem Server gerade erolgreich über den Plesk-Autoinstaller ein Mircoupdate installieren. Allerdings sieht das nicht so aus als wenn es für ProFTP wäre...

 

[Unchained]

Für Plesk 9.5.3 krieg ich irgendwie auch kein Update. Proftpd hat immer noch die Version 1.3.2e

Edit:

if /usr/sbin/proftpd is from Nov 11 the fix is apllied, the version number of proftpd stays the same, e.g. 1.3.2

OK, Version bleibt scheinbar auf dem alten Stand.

 

[cteno]

ist bei plesk 9.3.* auch das Problem akut, oder sind die versionen nicht betroffen?

edit:
ah nee, habs grad gesehn, nur für 9.5 und 10er