Strato teil Sicherheitslücke mit

jogiebaer

Member
Hallo,

hab grade folgende Mail von Strato bekommen:
Sehr geehrte(r) Herr XXXX,

krzlich wurde eine Sicherheitslcke in Plesk bekannt, durch die fremder Code auf einem Server ausgefhrt werden kann.

Da Sie Plesk auf Ihrem STRATO Server einsetzen oder eingesetzt haben, mchten wie Sie ber diese Sicherheitslcke informieren.

Das mgliche Schadenspotential dieser sogenannten SQL-Injection-Angriffe kann sehr gro sein.
Unter Umstnden kann durch Sicherheitslcken der Server bernommen oder fr DDoS-Attacken missbraucht werden.

Der Hersteller SWsoft hat Patches verffentlicht, die diese Lcke schliessen sollen.

Im STRATO Kundenservicebereich https://config.stratoserver.net finden sie in den Technischen News aktuelle Informationen und Hinweise zu diesem Sicherheitsproblem.

Ihr STRATO Server Team.

Hat schon jmd etwas dagegen getan? Wenn ja wie? Und auch bei der Plesk Version 8.2???

Gruß
jogie
 
@jogiebär, erst suchst du dir deine Pleskversion aus den Links heraus, dann fügst du den entsprechenden Link hinter dem wget ein, und folgst den weiteren Anweisungen auf der verlinkten Seite, es sei denn, du hast einen Windows Server, dann zählt für dich dieser Patch und du musst einfach nur die Datei in das Verzeichnis %plesk_dir%\admin\auto_prepend kopieren.
 
in welchen Ordner lade ich die Datei denn hinein?

Und was bedeuten folgende Aktionen und wie muss ich diese ausführen?
# md5sum ./class.Session.php
MD5 (./class.Session.php) = 5b7a8071374aa94b83697aec72d1d556

# cp /usr/local/psa/admin/plib/class.Session.php /usr/local/psa/admin/plib/class.Session.php.old

# cp ./class.Session.php /usr/local/psa/admin/plib/class.Session.php

Gruß
jogie
 
Also verbinde dich via SSH (z.B. über Putty) mit deinem Server. Dann loge dich ein. Das 'runterladen des Patches' passiert beim wget. md5sum prüft die Checksumme (die unter den jeweiligen 'wget-links stehen) cp bedeutet kopieren, dadurch ist die Anleitung doch schon erklärt.

Ich empfehle ansonsten das ausgiebige Lesen einer Linux FAQ für deine eingesetzte Distribution, oder den Wechsel zu einem Windows Server :D *duck und wech*
 
Last edited by a moderator:
mir ist putty und so weiter schon bekannt, aber es funktioniert nicht weil ich nicht weiß wie ich diese Befehle ausführen muss!
Die Datei ist immernoch in dem Ordner wo ich sie runtergeladen hab.

?????

Gruß
jogie
 
Wenn dir Putty bekannt ist, hacke doch einfach mal die Befehle in der angegebenen Reihenfolge in Putty rein.
Was du mit dem runtergeladenen Patch willst weiss ich nach wie vor nicht, denn das machst du wie oben schon beschrieben mit dem wget :cool:

Edit auch: Das Ausführen der Befehle, machst du einfach indem du 'ENTER' drückst.

Aber wenn dir das noch immer nicht klar genug erscheint, empfehle ich dir es Jemanden machen zu lassen, der sich mit sowas auskennt.
 
Last edited by a moderator:
@jogiebaer
Sorry, aber was ist an der Beschreibung auf der SW Soft Seite unklar?
Wenn dir diese einfachen Befehle ein Rätsel sind, dann frage ich mich schon, wie du einen Server administrieren willst.

Aber jetzt nochmal zum Mitmachen:
Du loggst dich mit Putty (als Root) auf deinem vServer an und führst die folgenden Befehle aus:
Code:
wget http://download1.swsoft.com/Plesk/Hotfix/PleskUnix/8.2.0/114298/class.Session.php
holt die Datei "class.Session.php" vom SWSoft Server in das Verzeichnis, in dem du dich gerade befindest (vermutlich /root)

Code:
md5sum  ./class.Session.php
überprüft die Checksumme der Datei, die du heruntergeladen hast. Stimmt sie mit der genannten überein, hat beim Download alles geklappt.

Code:
cp /usr/local/psa/admin/plib/class.Session.php /usr/local/psa/admin/plib/class.Session.php.old
macht ein Backup der Datei "class.Session.php" als "class.Session.php.old" in dem Verzeichnis "/usr/local/psa/admin/plib"

Code:
cp ./class.Session.php /usr/local/psa/admin/plib/class.Session.php
ersetzt die Datei "class.Session.php" in dem Verzeichnis "/usr/local/psa/admin/plib" mit der von dir heruntergeladenen

Code:
/usr/local/psa/admin/bin/httpsdctl restart
Startet den Plesk Webserver neu, damit die ersetzte Datei wirksam wird.

Das wars.

AnyKey
 
Habt ihr auch nicht von SW-Soft direkt von dieser Sicherheitslücke gehört? Ich bin über den abonnierten Heise-Newsletter darauf gestossen. Da ja aber SW-Soft nie scheut die eigenen Produkte per "Newsletter" anzupreisen, frage ich mich ob irgend etwas falsch war, das ich von dieser (massiven) Sicherheitslücke nicht direkt von SW-Soft gehört habe. Zudem finde ich es auch sehr merkwürdig dass das Update nicht per "Update-Funktion" verfügbar ist.

Gruss,
Dawn
 
Back
Top