Pleskの権限昇格の脆弱性報告につきまして

サーバー管理ソフトPleskの開発元のParallels社より、権限昇格の脆弱性が発見されたという報告がございました。
本脆弱性を利用し、実際の権限剥奪等をしかけられる可能性がございますので、早急に対策を行っていただけますようお願いいたします。

■対象：

VPS、専用サーバー、クラウドサーバーでPleskをご利用のお客様

※ご注意※

Windows向け製品に影響はありません。
2011年2月より販売のFX用VPSプランをご利用のお客様は、Pleskを利用しておりません。
共有サーバープランをご利用のお客様は、使えるねっとにて対策をさせていただきます。



■脆弱性の詳細：

詳細につきましては下記URL をご参照ください。

JVNVU#94324985：Plesk Panel に権限昇格の脆弱性

http://jvn.jp/cert/JVNVU94324985/

VU#310500：Plesk Panel 11.0.9 privilege escalation vulnerabilities

http://www.kb.cert.org/vuls/id/310500

PPP（Parallels Plesk Panel） がインストールされているLinuxサーバにおきまして、Apache web serverがmod_php, mod_perl, mod_python等のApacheモジュール経由でWebアプリケーションを起動する場合、root権限で任意のコードが実行される可能性があります。



■対策について：

必ず、お使いのPleskのバージョンに従ってマイクロアップデートの適用をお願いいたします。マイクロアップデートの適用方法、およびマイクロアップデートがインストールされているかの確認につきましては、こちらをご参考ください。また、マイクロアップデートに利用するアップデータのアイコンが表示されない場合は、こちらをお試しください。

なお、使えるねっとでも、お客様のサーバーのPleskにつきまして、セキュリティ上、緊急に対策が必要と判断される場合、脆弱性対策を実施させていただきます。但し、使えるねっとですべてのPleskに関する脆弱性の対策を行うことをお約束するものではご ざいません。必ずサーバーの管理者であるお客様にて脆弱性の対策の実施、また対策後のご確認をお願いいたします。また、お使いのサーバーがライフサイクルポリシーに準拠するバージョンであるかご確認の上、すでにサポートが終了しておりますバージョンにつきましては、バージョンアップ、または新サーバへの乗り換えをお願い申し上げます。

Plesk11

Plesk 11: MU#46 で修正。



Plesk10

Plesk 10.4.4: MU#49 で修正。
Plesk 10.3.1: MU#20 で修正。
Plesk 10.2.0: MU#19 で修正。
Plesk 10.1.1: MU#24 で修正。
Plesk 10.0.1: MU#18 で修正。



Plesk9

Plesk 9.5.4: MU#28 で修正。
※9.5.4以下の方はバージョンアップが必要となりますが、Plesk9自体が2013年6月にライフサイクルポリシーの規定によりサポートが終了しておりますので、この機会に最新のバージョンへのバージョンアップ、サーバーを新規でご契約いただき、データ移行を推奨いたします。



Plesk8以下

ライフサイクルポリシーの規定により、サポートが終了しておりますため、開発元からパッチを含めたサポートサービスの提供がございません。恐れ入りますが、Pleskのバージョンアップ、または新サーバーへの乗り換えをお願いいたします。
その他、CentOS4やRed Hat3などOSのバージョンが古く、サポートが終了しているものにつきましても、同様に今後のセキュリティと安定運用のため、サーバーの乗り換えを推奨いたします。データ移行などのご相談は、 サポートセンター へご連絡ください。





■暫定的な回避策：
mod_php、mod_python、および mod_perl を無効化し、Fast CGI および/または CGI を使用します。これらは当該セキュリティ脆弱性の影響を受けません。



すべてのドメインに対して mod_php を fast_cgi に切り替える方法の例：
# mysql -uadmin –skip-column-names -p`cat /etc/psa/.psa.shadow` psa -e “select name from domains where htype = ‘vrt_hst’;” | awk -F \| ‘{print $1}’ | while read a; do /usr/local/psa/bin/domain -u $a -php_handler_type fastcgi; done

※上記は例となります。お客様のご利用環境によって異なります。また古いバージョンのPleskをご利用の場合などでは、FastCGIの対応がない場合がございますので、あらかじめご了承ください。