Parallels Plesk Panelの脆弱性

parallels

Parallels社が提供しているPLESKというツールに脆弱性が発見されたその内容について記述したいとおもいます。

脆弱性の発見

脆弱性はワダックスから4月15日に連絡がきました。ワダックス側は4月11日か12日には脆弱性を把握していたそうです。しかし提供元のParallels社のバッチの提供が4月15日になったため連絡が4月15日になったという事でした。

脆弱性の問題

今回の脆弱性はどういうのかというと、PLESKのツール自体に影響を及ぼすものだったらしいです。具体的にはPLESKで管理者権限を持っていないユーザーに対し管理者権限(root)を勝手につけることができる脆弱性みたいです。

PLESKのアップデートをしていない方は早急にするすることをお勧めします。

対処方

ワダックスからのメールの内容になります。


【対処方法】
 ------------------------------
 1.PLESK11.xをご利用中のお客様
 ------------------------------

※インストーラーはtcp/8447を利用するため、
PleskのFirewallでポートを解放して頂く必要があります。

※microupdateが自動になっており、
/root/.autoinstaller/microupdates.xml を確認頂いた際、
  【Parallels Plesk Panel 11.0.9 MU#46】 となっていれば
  脆弱性が適用されていますので作業不要です。

 1. Pleskコントロールパネルにadminでログイン
 2. 左側メニュー【ツールと設定】をクリック
 3.【Panel】欄に御座います
   【アップデートおよびアップグレード】をクリック
 4.【コンポーネントのアップデート】をクリック

 5.【Base Packages of Plesk】以外のチェックは
すべて外した上で「続行する」をクリック

 6.「すべての製品とコンポーネントが
    正常にインストールおよびアップグレードされました。」
    と表示されていれば、microupdateが完了しています。

 【確認方法】
/root/.autoinstaller/microupdates.xml を確認します。
このファイルで patch version="46" となっていれば
パッチが適用されています。

 ------------------------------
 2.PLESK10.xをご利用中のお客様
 ------------------------------

※インストーラーはtcp/8447を利用するため、
PleskのFirewallでポートを解放して頂く必要があります。

※microupdateが自動になっており、
/root/.autoinstaller/microupdates.xml を確認頂いた際、
  【Parallels Plesk Panel 10.4.4 MU#49】 となっていれば
  脆弱性が適用されていますので作業不要です。

 1. Pleskコントロールパネルにadminでログイン
 2. 左側メニュー【ツールと設定】をクリック
 3.【Panel】欄に御座います
   【アップデートおよびアップグレード】をクリック
 4.【コンポーネントのアップデート】をクリック

 5.【Base Packages of Plesk】以外のチェックは
すべて外した上で「続行する」をクリック

 6.「すべての製品とコンポーネントが
    正常にインストールおよびアップグレードされました。」
    と表示されていれば、microupdateが完了しています。

【確認方法】
/root/.autoinstaller/microupdates.xml を確認します。
このファイルで version="10.4.4" patch version="49" となっていれば
パッチが適用されています。

 ------------------------------
 3.PLESK9.5.4をご利用中のお客様
 ------------------------------
※インストーラーはtcp/8447を利用するため、
PleskのFirewallでポートを解放して頂く必要があります。

※ /root/.autoinstaller/microupdates.xml を確認頂いた際、
 【Parallels Plesk Panel 9.5.4 MU#28】 となっていれば
  脆弱性が適用されていますので作業不要です。

 1. Pleskコントロールパネルにadminでログイン
ホーム > [ヘルプ&サポート]の「アップデート」をクリック
 2. コンポーネントのアップデートをクリック

 3.製品コンポーネントのアップデート画面にて、
 「Base Packages of Plesk」のみになっている事を確認して
 「続行する」ボタンをクリック

 4.「すべての製品とコンポーネントが
    正常にインストールおよびアップグレードされました。」
    と表示されていれば、microupdateが完了しています。

【確認方法】
/root/.autoinstaller/microupdates.xml を確認します。
このファイルで version="9.5.4" patch version="28" となっていれば
パッチが適用されています。

 ---------------------------------------
 4.PLESK9.x~9.5.3以前をご利用中のお客様
 ---------------------------------------

※インストーラーはtcp/8447を利用するため、
PleskのFirewallでポートを解放して頂く必要があります。

下記ワダックスオンラインFAQをご参照くださいませ。

■PLESKのアップデート方法 Ver 9.x~9.5.3以前 をご利用のお客様
http://faq.wadax.ne.jp/wdx5569/web3765/faq/detail.asp?FAQID=1264&baID=18

※ご注意※
qmail環境をご利用の場合、
「Postfix mailserver」をインストールすると
既存のqmailから環境が置き換わるため、
メールサービスに影響があります。

また、postfix環境をご利用の場合、
「Qmail mailserver」をインストールすると既存の
  postfixから環境が置き換わるため、
メールサービスに影響があります。

【確認方法】
 /root/.autoinstaller/microupdates.xml を確認します。
 このファイルで version="9.5.4" patch version="28" となっていれば
パッチが適用されています。

 -------------------------------------
 5.PLESK8.x~8.6以前をご利用中のお客様
 -------------------------------------
本脆弱性に関する修正パッチは提供されておりません。

上位バージョンへのマイグレーションやリプレース等を
ご検討くださいませ。