Sicherheits-Ankündigungen zu Plesk

[Bevan]

Hallo,

bei der kürzlich entdeckten Sicherheitslücke in ProFTPD fand ich es äußerst fragwürdig, wie Parallels mit der Sache umgegangen ist:

1. gab es bis zum 11. November keinerlei offizielle Ankündigung.
2. ist die jetzt existierende Ankündigung eigentlich nur im Parallels Forum wirklich sichtbar.
3. brauchte Parallels ca. 2 Wochen, um diese Lücke zu schließen. Innerhalb dieser Zeit wurden etliche Server, die Plesk nutzen, kompromittiert.

Parallels hat keine Mailingliste oder News-Seite, auf der solche Lücken bekanntgegeben werden, und möchte so etwas auch in Zukunft nicht führen. Daher habe ich selber mal eine kleine Seite gebaut, auf der die Versionen der von Plesk mitgelieferten Software gelistet sind und - so weit mir bekannt - auch damit verbundene Sicherheitslücken.
Wer bei neuen Einträgen automatisch informiert werden möchte, kann diese außerdem abbonieren.

Man findet das ganze unter http://psa.bi-co.net. Über Feedback würde ich mich freuen.

Die Versionen habe ich den entsprechenden Debian Repositories von Parallels entnommen. Hier wäre für mich noch interessant zu wissen, ob unter anderen Distributionen evtl. andere Versionen oder ganz andere Pakete mitgeliefert werden.

Michael

 

[andreas0]

Hallo Michael,

Man findet das ganze unter http://psa.bi-co.net. Über Feedback würde ich mich freuen.

Nur ein Vorschlag: Du könntest eventuell den Inhalt der Webseite auch noch in deutsch dort ablegen.

Gruß
andreas0

 

[Roger Wilco]

Beachtest du eigentlich auch die entsprechenden Backports und Patchlevel der Pakete oder gehst du stumpf nach Versionsnummer?

Denn auf deiner Seite werden die Pakete für ProFTPd alle als verwundbar gekennzeichnet, obwohl:

Diese ProFTPD-Problemlösungen sind auch über den Parallels AutoInstaller für Plesk 9.52, 9.53 und Plesk 10.01 verfügbar.

 

[Bevan]

Beachtest du eigentlich auch die entsprechenden Backports und Patchlevel der Pakete oder gehst du stumpf nach Versionsnummer?

Grundsätzlich gehe ich nach Versionsnummern, beachte aber MicroUpdates von Parallels. ProFTPD ist wegen einer anderen, noch ungepatchten Lücke rot. Details bekommt man, wenn man die Versionsnummer anklickt. Da sieht man dann z.B. für ProFTPD in Plesk 9.5.3:

unfixed:
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3867

fixed by MicroUpdate:
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4221 - Fixed by MU1

Dass Parallels ganze Software-Versionen backportet, ist mir nicht bekannt. In einem solchen Fall würde ich dann die aktualisierte Version eintragen.

 

[wstuermer]

Parallels hat keine Mailingliste oder News-Seite, auf der solche Lücken bekanntgegeben werden, und möchte so etwas auch in Zukunft nicht führen.

Die Aussage ist schlichtweg falsch. Anbei der entsprechende Newsletter, der von Parallels bzgl. des Proftpd-Problems auf ihren Mailinglisten versendet wurde.

Subject: Urgent Notification: Security Vulnerability to ProFTPD, a component service of Plesk
Date: Fri, 12 Nov 2010 01:52:46 +0100

Parallels Plesk Panel

Parallels strives to deliver solutions to potential vulnerability issues of component parts as soon as they are identified. Please pay attention to this notification as it contains an Important Security Notification. More information can be found on the Parallels website, by visiting: http://www.parallels.com/products/plesk/proftpd

Affected Products: Parallels Plesk Panel 9.5x and 10 include this vulnerability (no prior versions included this version of the component). Parallels Small Business Panel 10.2 is also affected.

Details of the Vulnerability or Exploit: A flaw in ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.
ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application's stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.

Fixes for the Vulnerability or Exploit: Parallels has used its micro-update patch functionality in Plesk 9.5x and 10.x to fix this exploit. You can run the Parallels AutoInstaller to fix this or check the Updates section of your Plesk Panel 9.5x or 10.x to fix this. This is a file-replace, as opposed to a new install so it will be quick and reliable. To find this in the GUI:
Parallels Plesk Panel 9.5x: “Home” -> “Updates” -> Select the Panel version which has updates -> click “Install” ?
Parallels Plesk Panel 10.x:“Server Management” -> “Tools & Utilities” -> “Updates” -> “Update Components” -> click “Continue”

These ProFTPD fixes are also available from the Parallels AutoInstaller for Plesk 9.52, 9.53, and Plesk 10.01. You should already have downloaded this as part of Plesk. Use:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller

Or use the following parameters:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

The patch for Parallels Small Business Panel 10.2 will be posted by 12 noon GMT on Friday November 12, 7am EST in the US)

If you have any concerns or need assistance applying these patches to your system, please contact us at: http://www.parallels.com/support/plesk/free10assistance_toc/ . A valid Plesk license key is required.

Thank you for your attention to this important matter.

The Parallels Plesk Panel Team

©1999-2010 Parallels. Virtualization and Automation Software. All Rights Reserved.

 

[Perry_Rhodan]

LOL

Diese Meldung ist vom 12.11. Strato hat den Fehler am 08.11. gemeldet...

Ja, ja, ging ja nur darum, ob Plesk sowas überhaupt meldet...

 

[Bevan]

Parallels hat sich zu Wort gemeldet, als ein Update bereit stand, nicht als das Problem entdeckt wurde. Zum Zeitpunkt des Updates waren bereits viele Server kompromittiert. Die einzige Möglichkeit, sich zu schützen, war selber Hand anzulegen. Das geht jedoch nur, wenn man von der Lücke erfährt, sobald diese entdeckt wird.

Jemand im Parallels-Forum hat wegen der ProFTPD Lücke nach einer solchen Mailingliste gefragt und die Antwort war:

It was not Plesk security problem but proftpd service. Plesk use many thir-party components like php, mysql, proftpd, apache, etc and all these components have own security problems and announcements.

 

[wstuermer]

Ja, ja, ging ja nur darum, ob Plesk sowas überhaupt meldet...

erstens das (wurde übrigens am 11. versendet). Und zweitens wurden auch direkt die Release-Termine für die Bugfixes mitgeteilt. Und 4 Tage sehe ich durchaus als schnelle Lösung an. Da kann sich manch anderes Development-Team eine Scheibe von abschneiden.

 

[Bevan]

Und 4 Tage sehe ich durchaus als schnelle Lösung an.

Die Lücke ist seit dem 29.10. bekannt:
http://bugs.proftpd.org/show_bug.cgi?id=3521

Parallels hat also innerhalb von 13 Tagen reagiert...

 

[wstuermer]

Deine Ironie kannst Du dir sparen. Das Problem wurde in einem adäquaten Zeitrahmen behoben, wenn man davon ausgeht, dass es sich nicht mal um eine Haus eigenes Produkt von Parallels handelt.

 

[Bevan]

Deine Ironie kannst Du dir sparen.

Es war mir nicht bewusst, welche verwendet zu haben.

Das Problem wurde in einem adäquaten Zeitrahmen behoben, wenn man davon ausgeht, dass es sich nicht mal um eine Haus eigenes Produkt von Parallels handelt.

Hier sind wir unterschiedlicher Meinung. Ich habe meine dargestellt, du deine.

 

[Dawn]

Ich möchte nur kurz sagen das ich deinen Einsatz für die Plesk Community wirklich super finde und ich mich gleich angemeldet habe.

Von der zweiten ProFTP Lücke wusste ich nicht einmal etwas und die wird von Secunia immerhin als "Highly critical" eingestuft: http://secunia.com/advisories/42052

Ich finde auch das Parallels bei solchen wirklich kritischen Sicherheitslücken wirklich viel viel schneller informieren sollte, und wenigsten einen "dirty Bugfix" wie hier im Forum beschrieben wurde (durch eigenes Kompilieren) veröffentlichen sollte. Grundsätzlich hat man ein Backup und kann dieses auch wieder - mit viel Aufwand!!! - zurück laden, jedoch nimmt dies beträchtlich Zeit in Anspruch (Server Grund-Backup zurück laden, aktuelle Daten wiederherstellen) und einiges wird auch verloren gehen (Emails) da man ja nicht immer zu jederzeit ein sekundengenaues Backup hat. Auch wird hier immer so lässig genannt das man doch prüfen soll ob das System kompromitiert wurde, jedoch finde ich persönlich das auch nicht so trivial und die Möglichkeiten eines Angreifers (inkl. dem Manipulieren der Log-Dateien) gross.

Daher nochmal ein Dankeschön für die Zeit die du dier genommen hast, etwas auf die Beine zu stellen (was eigentlich Parallels Aufgabe wäre, dafür zahlen wir ja SUS etc.).

 

[catwiesel]

Das Problem wurde in einem adäquaten Zeitrahmen behoben, wenn man davon ausgeht, dass es sich nicht mal um eine Haus eigenes Produkt von Parallels handelt.

Mir ist zwar egal, über was Ihr euch streitet und auseinandersetzt, aber warum muss sich Paralells um Softwaresicherheitslücken kümmern, welche nicht mal von Ihnen ist?
Klar, das die in diesem Fall verwendete Software von Plesk verwendet wird, aber nichts desto trotz sollte sich jeder Admin eigentlich selbst auf dem laufenden halten.....

 

[Dawn]

Wenn Sie das offizielle ProFTP Distributions-Package verwenden würden, wäre der Bug schon lange gepacht worden, da sie jedoch eine eigene Version verwenden, ist man abhängig von Parallels. Darum ist die Schuldfrage auch eher eindeutig...