Schwachstelle in Plesk

Thorsten

Thorsten

SSF Facilitymanagement
Staff member
Hallo!
heise Security berichtet über eine Schwachstelle in Plesk.
heise Security News said:
PLESK ermöglicht Ausspähen des Servers

Über eine Schwachstelle im web-basierten Konfigurationstool für Webserver und Webhosting PLESK ist es möglich, Verzeichnisse und Daten einzusehen. Ursache des Fehlers ist die unzureichende Filterung des Parameters file im Modul filemanager.php, sodass Directory Traversing möglich ist:
Click to expand...
Der komplette Artikel ist unter heise Security - News - PLESK ermöglicht Ausspähen des Servers zu finden.
Quelle : heise Security - News

mfG
Thorsten
 
Hi Thorsten,

danke sehr für die Information!
Was man noch dazu sagen muss:
Das ganze ist nur möglich, wenn der Angteifer ohnehin Zugriff auf das PLESK hat!
Also in meinen Augen eher niedriges Risiko, da es auch ab Montag einen Hotfix geben soll dagegen!


Lieben Gruss
Free
 
Jo der Meinung bin ich auch.

Das ist dann mal wieder Panikmache.

Und ich glaube nicht das bis Montag sämtliche Server gehackt sind.
 
Hallo!
Es ist wohl davon auszugehen, das einige Serverbesitzer die Plesk einsetzten, für Ihre Kunden (im weitesten Sinne) Zugänge erstellt haben. Ich hätte als Kunde kein gutes Gefühl dabei, wenn es möglich sein könnte, das andere (Kunden) auf meine Daten zugreifen könnten. Mit Panikmache hat das meines Erachtens nichts zu tun.

mfG
Thorsten
 
Hallo,

erstmal Danke für den Hinweis Thorsten.

In meinem Augen ist das auch keine Panik mache, denn Plsk ist für sowas einfch zu weit verbreitet!

Ich weiss schon warum keiner meiner "Kunden" Zugang zum Controllpanel hat.
 
Du sagst "Wenn es möglich sein könnte".

Wie oft haben wir das schon erlebt. Erst heißt es immer vorsicht vorsicht gefährlich.

Und was ist am Ende? Nichts als Panik.

Sorry aber ich habe im Laufe der Jahre gelernt nicht gleich bei jedem Pups Panik zu bekommen.

Ich Setzte auf 17 Servern Plesk ein. Ein großer Teil davon ist voll mit Kunden und alle haben Zugang zum CP.

Dazu kommen noch 129 Mail User die Zugang haben.

Und das nicht erst seid gestern.

Nichts ist passiert. Also sehe ich das sehr gelassen.
 
Hallo,

das wollte ich damit auch nicht aussagen und ich finde auch nicht, dass es Panikmache ist, sondern dass es schon eine Lücke ist, die nicht ganz unbedeutend ist!

Aber sie erlaubt keinen Zugriff ohne, dass der Kunde nicht ohnehin Zugriff hat!
Wer also jetzt seine LogFiles ein bisl genauer im Auge hält hat evtl. einen Kündigungsgrund für den ein oder anderen Kunden...

Aber der Bug erlaubt nicht das sehen der Daten eines anderen Users, ABER er erlaubt, den Zugriff auf das DIR
Code: 
/pfad/zu/plesk/vhosts/

Somit kann ein Kunde also alle Domains sehen!
Man kann allerdings dann nicht auf die einzelnen Verzeichnisse zugreifen, deswegen meinte ich, dass es eher ein niedriges Risiko ist, welches aber trotzdem schnell behoben werden sollte (und laut Angaben von SWSoft auch bis Montag der Fall sein soll)

Lieben Gruß
Free

€dit:
Bitte nicht persönlich nehmen aber ich finde, dass ist die bescheuertse Begründung, die einem einfallen kann dtmaster!

'Ich schließe mein Auto nie ab, und es wurde noch nie geklaut! Deswegen finde ich sollte man auf sowas keine Acht geben und den Schlüssel nur zum starten benutzen....'

You see what I mean?
 
Last edited by a moderator:
Klar sollte es behoben werden. Keine Frage.

Aber was denkst du wieviele die das lesen und Plesk nutzen jetzt rennen und was weiß ich was machen um bis zum Hotfix seinen Server zu schützen.

Unnötig wie ich finde. Aber nun gut. Jedem seine Meinung.

Edit:

Stell dir mal vor ich würde jetzt für jeden Kunden das CP bis zum Hotfix sperren.

Ne danke. So viel Zeit hab ich dann doch nicht. Und meine Kunden wissen über diese Lücke bescheid. Hab nen Newsletter rausgeschickt. Und keiner hat deswegen nachgefragt oder Panik bekommen.
 
Last edited by a moderator:
Hallo!
Für jemanden der Hosting Dienste anbietet, finde ich diese Einstellung etwas suboptimal.

mfG
Thorsten
 
Hallo Thorsten,

das sehe ich zwar genauso...

ABER wir schweifen vom Topic ab! ;)

Also fasse ich nochmal zusammen:

Der Bug erlaubt das sehen, der einzelnen Domains, jedoch nicht das sehen der Daten einzelner Domains!

Er wird hoffentlich bis Montag behoben sein und ist nur von Leuten ausnutzbar, die Zugriff auf das CP haben!

Lg
Free
 
Du kannst das ja gerne für mich machen.

Hab momentan so viel zu tun das viele Projekte auf Eis liegen. Und dann noch alles ändern sperren oder etc.

Kunden wissen bescheid. Ausserdem habe ich es z.B. so wie viele andere heute erfahren.

Naja und bis Montag ist ja nun nicht mehr lange.

Und ich bitte doch drumm die Entscheidung mir zu überlassen. Das Problem liegt dann ja auf meiner Seite und nicht bei euch.

Hab hier nur meine Persönliche Meinung gesagt. Und ich denke mal die sollte auch Respektiert werden so wie ich eure Respektiere.

Man hat öfter mal den Eindruck das andere Versuchen die Meinung des anderen ändern zu wollen.
 
Hallo dtmaster,

nein das war nicht unsere Absicht!

Nur man kann ja allgemein sagen, dass ein Bug nie etwas Gutes ist für einen Hoster, wenn Thorsten deine Einstellung (in diesem Fall! - nicht allgemein) schlecht findet, dann versucht er dir bzw. den Mitlesenden ja nur aufzuzeigen, wieso man es nicht ganz ausser Acht lassen sollte!

Aber er möchte dir ja nicht deine Meinung verdrehen!

Also ist jut jetzt, sonst bringt der Thread den Anderen kaum noch was, da er schwammig wird!

Lieben Gruss
Free
 
Tachen,

mal ne Frage für welche Version gildet die Warnung ?

Gruß
Dennis
 
Hallo dereine,

*hust*

Wie war das mit 'Wer lesen kann...' *gG*

heise said:
Die Lücke wurde zwar in PLESK 7.6 für Windows gefunden. Der Hersteller bestätigte die Lücke gegenüber heise Security auch für die Linux-Version 8.0.
Click to expand...

@Linux 7.5.4 ist er ebenfalls vorhanden!

Lieben Gruss
Free

PS:
Meine Äußerungen zu dem Bug bezogen sich auf ein Lin7.5.4 PLESK
 
Last edited by a moderator:
Hier mal die Meldung die Strato seinen Kunden rausgegeben hat.

Ich wurde sogar angerufen.

29.09.06 - Schwachstelle in Plesk
Sehr geehrte Kundin, sehr geehrter Kunde,

kürzlich wurde eine Schwachstelle in Plesk 8.0 und Plesk 7.5 Reloaded bekannt, die das Ausspähen von Daten ermöglicht.

Es soll möglich sein, über einen Fehler in der Datei filemanager.php auf Verzeichnisse zuzugreifen, die oberhalb des aktuellen Pfades liegen.

Dieser mögliche Angriff ist eine sogenannte "directory traversal"-Attacke, auch bekannt als "../ -Attacke".

Unsere Techniker haben dies bei den bei STRATO eingesetzten Versionen von Plesk 8.0 und Plesk 7.5 Reloaded überprüft.

Wir können bestätigen, dass man über den genannten Weg eine Liste der gehosteten Domains in Erfahrung bringen kann, ein darüber hinausgehender unberechtigter Zugriff auf Dateien oder Verzeichnisse ist offenbar jedoch nicht möglich!

Parallel baten wir den Hersteller der Software SWsoft um eine Stellungnahme. SWsoft bestätigte diese bisherige Einschätzung ebenfalls und ist dabei, den Bug näher zu untersuchen.

Wir empfehlen in jedem Fall, Sicherheitsupdates von SWsoft einzuspielen, sobald sie verfügbar sind.

Ihr STRATO-Server Team.
Click to expand...
 
@dtmaster

hast du es Per E-Mail bekommen ? oder Stand es in dem KI ?

Den ich habe nix bekommen und im KI sehe ich auch nix.

Gruß
Dennis

@Freel@ncer14

Danke, ich werde Alt daher wird es auch mit dem LEsen schwieriger :D
 
Hi,

das stimmt ja komplett mit meinen Angaben überein, was den Zugriff angeht und auch was die betroffenen Versionen betrifft!

Ich hab gerad mal geguckt und die Meldung aus dem WI kann ich bestätigen, wobei ich sagen muss, dass sowas eigentlich eine Ausnahme ist, normalerweise bekommt man fast nie solche Infos von STRATO!

Lieben Gruß
Free
 
Naja.

Ich kann mich was die Infos von Strato angeht nicht beschweren.

Bekomme immer ne mail oder einen Anruf von denen. Finde das echt gut.
 
dtmaster said:
Naja.

Ich kann mich was die Infos von Strato angeht nicht beschweren.

Bekomme immer ne mail oder einen Anruf von denen. Finde das echt gut.
Click to expand...

Hi, wieviel Server hast Du denn bei denen laufen, oder bist Du ein "VIP-Kunde"? Hab das noch nie gehört dass man ne mail bekommt oder angerufen wird!

Grüße
 
You must log in or register to reply here.
Back
Top