Plesk Versionen: Einsatz von 9.3.0 und 9.5.4 gefährlich?

[stehlampe]

Hallo!
Unsere Server wurden gerade von einer externen Firma unter die Lupe genommen und nun habe ich den Bericht hier vorliegen. Soweit sieht alles gut aus, dennoch sind natürlich ein paar Punkte angemerkt worden.

Unter anderem ist "veraltete" Software moniert worden. Diese veraltete Software kommt nicht vom eingesetzten OS (Debian) sondern von Plesk, da ja z.B. der proFTPD ja aus deren Repo kommt.

So heißt es 1.3.2.e (kommt mit Plesk 9.5.4) und 1.3.1 (kommt mit Plesk 9.3) sind veraltet, die Version 1.3.3c ist aktuell.

Ist damit der Einsatz von Plesk 9.3.0 und 9.5.4 nicht ratsam und man sollte schnellstens auf die 10.0.x updaten? Bislang dachte ich das beispielsweise durch das Micro-Update (auf 9.5.4) eine gepatchte Version des proFTPD eingespielt wurde.

Wie seht ihr das?

Stehlampe

 

[catwiesel]

Hi,
Bei den Microupdates von Plesk 9.5.4 ist eine gepatchte Version dabei.

Info von Strato (Beispiel):

Das ProFTPD-Projekt Team hat am 01.12.2010 bekannt gegeben, dass der FTP-Server ftp.proftpd.org gehackt wurde. Eindringlinge haben in die Quellcode-Archive proftpd-1.3.3c.tar.gz und proftpd-1.3.3c.tar.bz2 eine Hintertür eingeschleust. Im Zeitraum vom 28.11.2010 bis zum 02.12.2010 wurden die modifizierten Versionen des ProFTPD 1.3.3c Quellcodes von diesem FTP-Server und allen offiziellen FTP-Spiegel-Servern des ProFTPD-Projekts ausgeliefert.

Wenn Sie in diesem Zeitraum von ftp.proftpd.org oder einem der offiziellen Spiegel-Server die Quellcode-Datei proftpd-1.3.3c.tar.gz oder proftpd-1.3.3c.tar.bz2 heruntergeladen, kompiliert und in Betrieb genommen haben, setzen Sie eine unsichere ProFTPD-Version mit einer Hintertür ein. Wir bitten Sie daher umgehend auf Ihrem Server eine unmodifizierte ProFTPD-Version zu installieren.

Nutzen Sie die MD5-Prüfsummen, um die Integrität des Quellcodes zu verifizieren. Gehen Sie dazu wie folgt vor:

# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.gz
# md5sum proftpd-1.3.3c.tar.gz
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz


bzw.

# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3c.tar.bz2
# md5sum proftpd-1.3.3c.tar.bz2
8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2


Vergleichen Sie die errechneten MD5-Prüfsummen mit den hier angegebenen: http://proftpd.org/md5_pgp.html.

Eine Liste der FTP-Spiegel-Server finden Sie unter http://proftpd.org/download.html, ausführliche Infomationen unter http://www.heise.de/security/meldung/Backdoor-in-FTP-Server-ProFTPD-1146211.html und http://sourceforge.net/mailarchive/...00.1012011542220.12930@familiar.castaglia.org.

Wenn Sie den Quellcode aus dem CVS-Repository verwendet haben, so sind Sie von dem Vorfall nicht betroffen. Wenn Sie Plesk einsetzen und die aktuellen Updates eingespielt haben, ist Ihr ProFTPD-Server ebenfalls sicher.



Beim 9.3.0 einfach den ProFTP updaten, dann ist das auch behoben.