OVH Community, your new community space.

Plesk + Apache: 0-day remote exploit by Kingcope


santisaez
07/06/2013, 21:34
Como me temía.. había mucho FUD en las noticias que se estaban publicando, yo también había intentando explotar sin éxito varias versiones de Plesk.

En cualquier caso quería avisar por aquí "por si acaso", nunca está de más hacer double-check ;-)
manoleet
07/06/2013, 20:45
Cita Publicado inicialmente por kennysamuerto
El problema radica en los nuevos servidores. Al no distribuir licencias de Plesk 9.5, ya hay que ir a morir a los 11.

Una pena, para mi tambien es muchisimo mejor Plesk 9.5.4 que cualquier otra version.
Yo compré licencias de más, y las que dejan de usar mis clientes no las doy de baja, las conservo.

Claro, que eso solo lo puedes hacer siendo Partner.
kennysamuerto
07/06/2013, 18:42
Cita Publicado inicialmente por davidlig
Tengo buenas noticias para vosotros:




Salu2
Confirmado entonces, era evidente, porque los que probabamos a explotar la vulnerabilidad, no he visto a nadie que lo consiga en un 9.5.4
kennysamuerto
07/06/2013, 18:41
Cita Publicado inicialmente por manoleet
Me refería a que no considero a Plesk 10/11 como alternativas viables, por lo que conservo la 9.5.4
El problema radica en los nuevos servidores. Al no distribuir licencias de Plesk 9.5, ya hay que ir a morir a los 11.

Una pena, para mi tambien es muchisimo mejor Plesk 9.5.4 que cualquier otra version.

Y los que conservo con 9.5.4 (3 mios), recomiendo a los clientes NO actualizarlos (primero por el peligro de actualizar un plesk, pero basicamente porque para mi, 9.5.4 es mejor que cualquier otra version).

Asi que eso, lo peor es no poder instalarlo en los nuevos, sino, yo todos tendria 9.5.4. Lo tengo clarisimo.

Saludos
davidlig
07/06/2013, 18:40
Tengo buenas noticias para vosotros:

Parallels Customer,

Please read this message in its entirety and take the recommended actions.
Note: Parallels Plesk Panel version 9.3 and later are not impacted.
Situation

Recently there has been number of reports of a “new” zero-day vulnerability in Parallels Plesk Panel. This vulnerability is a variation of the long-known CVE-2012-1823 vulnerability related to the CGI mode of PHP in selected older and end-of-life versions of Parallels Plesk Panel. The exploit for this vulnerability uses a combination of two issues:

PHP vulnerability CVE-2012-1823 related to CGI mode used in older versions of Parallels Plesk Panel (http://kb.parallels.com/en/113818).
Parallels Plesk Panel phppath script alias usage in Parallels Plesk Panel versions 9.0-9.2

All currently supported versions of Parallels Plesk Panel 9.5.4, 10.x and 11.x, as well as Parallels Plesk Automation, are NOT vulnerable. Also, Parallels Plesk Panel 8.x (now end-of-life) is NOT vulnerable.
Impact

A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server.
Parallels Products Impacted

This vulnerability impacts Parallels Plesk Panel versions 9.0 through 9.2.3. As of early June 2013, these versions represent less than 4% of all Parallels Plesk Panel licenses and these versions are end-of-life (superseded by 9.5.4, which has had a direct upgrade available for over 3 years).

Solution
Customers on Parallels Plesk Panel 9.0 through 9.2.3 should immediately:

Upgrade to the latest version of Parallels Plesk Panel. Parallels Plesk Panel 11 has been available for over a year. Parallels Plesk Panel 11.5 has many advancements and will be available on June 13, 2013. If you cannot upgrade to the latest version of Parallels Plesk Panel, update to Parallels Plesk Panel 9.5.4 (will end of life and support soon) which has a special php wrapper protecting from the PHP issue, and a solution that avoids the phppath attack vector.
Update PHP to protect against the CVE-2012-1823 vulnerability (See http://kb.parallels.com/en/113818)
Protect Parallels Plesk Panel use of phppath used in versions 9.0 – 9.2 as described in overall issue KB: http://kb.parallels.com/116241

Call to Action

Customers are also strongly encouraged to subscribe to our support e-mails by clicking here, subscribe to our RSS feed here and add our Knowledge Base browser plug-in here.

Parallels takes the security of our customers very seriously and encourages you to take the recommended actions as soon as possible.

Additional Resources

Parallels has created a comprehensive page on securing Parallels Plesk Panel at http://kb.parallels.com/en/114396
Parallels has created a Malware Removal tool at http://kb.parallels.com/en/115025

Salu2
manoleet
07/06/2013, 09:22
Cita Publicado inicialmente por davidlig
¿Crees que a dos días de su fin van a molestarse en sacar un parche?
Me refería a que no considero a Plesk 10/11 como alternativas viables, por lo que conservo la 9.5.4
davidlig
07/06/2013, 02:17
Cita Publicado inicialmente por kennysamuerto
Y mira que yo sigo pensando, que la 9.5.4 continua siendo una de las mejores versiones que Plesk ha sacado, con diferencia, al mercado.
Los que usamos Debian no nos ha quedado más remedio que actualizar a versiones superiores puesto que parallels no ha sacado Plesk 9.5 para Squeeze.

En un principio era reacio a utilizar las nuevas versiones por los comentarios de estos foros pero al final me ha gustado bastante el nuevo concepto de Plesk 10/11 sin olvidar otra cosa muy importante, parallels ha incluido spamassassin + application pack by the face en todas las licencias de dichas versiones


Cita Publicado inicialmente por manoleet
El soporte de la 9.5.4 acaba el 9 de Junio, pero no veo una versión mejor.
¿Crees que a dos días de su fin van a molestarse en sacar un parche?
kennysamuerto
06/06/2013, 20:18
Cita Publicado inicialmente por manoleet
Debo añadir que no he conseguido explotar el bug en ninguno de mis Plesk 9.5.4 por dos motivos:

- No uso PHP-CGI, siempre como módulo porque sino el rendimiento es pésimo
- Incluso usando PHP-CGI hay un wrapper, no existe /phppath/php, sino /phppath/cgi_wrapper que no acepta parámetros, que es en lo que se basa el exploit
Me sumo. Tambien lo he intentado explotar sin ningun exito. Tampoco uso PHP-CGI.
manoleet
06/06/2013, 18:50
Debo añadir que no he conseguido explotar el bug en ninguno de mis Plesk 9.5.4 por dos motivos:

- No uso PHP-CGI, siempre como módulo porque sino el rendimiento es pésimo
- Incluso usando PHP-CGI hay un wrapper, no existe /phppath/php, sino /phppath/cgi_wrapper que no acepta parámetros, que es en lo que se basa el exploit
manoleet
06/06/2013, 17:52
El soporte de la 9.5.4 acaba el 9 de Junio, pero no veo una versión mejor.
kennysamuerto
06/06/2013, 17:20
Cita Publicado inicialmente por davidlig
Por lo que parece sólo afecta a versiones 8.6, 9.0, 9.2, 9.3 y 9.5.4 las cuales han dejado de tener soporte desde hace tiempo http://www.parallels.com/es/products/plesk/lifecycle/. Los administradores de dichas versiones no les quedan más cojones actualizar a Plesk 10/11

Un saludo.
Y mira que yo sigo pensando, que la 9.5.4 continua siendo una de las mejores versiones que Plesk ha sacado, con diferencia, al mercado.
davidlig
06/06/2013, 12:14
Por lo que parece sólo afecta a versiones 8.6, 9.0, 9.2, 9.3 y 9.5.4 las cuales han dejado de tener soporte desde hace tiempo http://www.parallels.com/es/products/plesk/lifecycle/. Los administradores de dichas versiones no les quedan más cojones actualizar a Plesk 10/11

Un saludo.
santisaez
06/06/2013, 11:24
FYI: @kingcope acaba de publicar un 0-day que afecta a Plesk, al parecer se podria conseguir una shell con el usuario con el que se ejecuta Apache, mas informacion aqui: http://kcy.me/m3bp

El exploit se ha publicado en la lista "full-disclosure" y leyendo algunos comentarios parece que no es sencillo explotarlo, en cualquier caso no está de más estar atentos.. Parallels por ahora no se ha pronunciado, en el primer link se hace referencia a un fix para estar protegidos.

Saludos,