Centre d'Assistance NUXIT

A votre service 7j/7 24h/24

Faille de sécurité du 12 juillet 2012

Une faille de sécurité critique à été trouvée dans le Panel Plesk et concerne les versions 8.x, 9.x, 10.0, 10.1, 10.2, 10.3 et éventuellement 10.4

Le bouton des mises à jour n’est pas disponible sur l’interface Plesk ; en effet celui-ci est désactivé par nos soins car effectue des mises à jour majeures en allant chercher systématiquement la dernière version disponible, ce qui bien souvent peut provoquer de graves dysfonctionnements.

Vous devez donc toujours utiliser le terminal SSH pour faire vos mises à jour en toute sécurité. Cette méthode se limite en effet aux mises à jour de sécurité sans risque de voir le comportement du serveur changer. Si vous ne savez pas vous connecter en SSH, voyez ce tutorial : Se Connecter en SSH

Vérifier si votre serveur est vulnérable

Connectez vous en ssh sur votre serveur et tapez les commandes suivantes :

wget http://kb.parallels.com/Attachments/19203/Attachments/plesk_remote_vulnerability_checker.php
php -d safe_mode=0 plesk_remote_vulnerability_checker.php

Si la dernière commande affiche “The patch has not been applied”, alors vous devez appliquer le patch.

Mise en place des Correctifs

Certaines versions de Plesk n’ont pas de correctif, pour savoir la version que vous avez vous pouvez taper la ligne suivante :

cat /opt/psa/version 

Réponse : 8.6.0 Debian 4.0

Dans l’exemple ci-dessus nous sommes donc en Debian 4.0 (Etch) avec Plesk 8.6.

Attention avant d’appliquer les mises à jour vérifier que vos dépôts Debian sont bien à jour :

 cat /etc/apt/sources.list

Dépôts pour Debian Etch (4.0)

 
 deb http://archive.debian.org/debian etch main contrib non-free
 deb http://archive.debian.org/debian-volatile etch/volatile main contrib non-free
 deb http://archive.debian.org/debian-security etch/updates main contrib non-free

Dépôts pour Debian Lenny (5.0)

 deb http://archive.debian.org/debian-archive/debian lenny main contrib non-free
 deb http://archive.debian.org/debian-volatile lenny/volatile main contrib non-free
 deb http://archive.debian.org/debian-security lenny/updates main contrib non-free

Dépôts pour Debian Squeeze(6.0)

 deb http://ftp.de.debian.org/debian squeeze main contrib non-free
 deb http://ftp.fr.debian.org/debian squeeze-updates main
 deb http://security.debian.org/ squeeze/updates main

Les versions suivantes de Plesk n’ont pas de correctif (Voir tableau : http://kb.parallels.com/en/113321) :

  • Plesk 8.1, 8.2, 8.3, 8.4 → Aucun correctif, la seule solution est de passer en Plesk 8.6.0
  • Plesk 9.0, 9.1, 9.2, 9.3 → Aucun correctif, la seule solution est de passer en Plesk 9.5.4
  • Plesk 10.3.0 → Aucun correctif, la seule solution est de passer en Plesk 10.3.1

Pour changer de version Plesk, vous devez suivre la documentation suivante : http://assistance.nuxit.com/Base-de-connaisssance/mettre-a-jour-plesk/

Pour les versions de Plesk ayant un correctif disponible, vous devez taper la ligne suivante pour l’installer :

/opt/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

Une fois la mise à jour effectuée, vous pouvez vérifier que le patch est bien appliqué avec le script de vérification :

php -d safe_mode=0 plesk_remote_vulnerability_checker.php

Réponse : The patch has been successfully applied.

Nous vous encourageons à changer le mot de passe de Plesk, vous devez aussi lancer les lignes suivantes sur votre serveur afin de supprimer les fichiers et sessions corrompus :

grep -ilr 'km0ae9gr6m' /var/www/vhosts/ | while read arq; do echo $arq; echo $arq >> /root/infected.txt; sed -ni '1h;1!H;${x;s/km0ae9gr6m.*qhk6sa6g1c/virus removed/;p}' $arq; done;

Changement des mots de passe

Nous vous recommandons fortement de changer tous les mots de passe de tous les utilisateurs de Plesk.

Vous pouvez le faire soit depuis l’interface dans la rubrique appropriée, soit en utilisant l’utilitaire en ligne de commande proposé par Parallels comme expliqué ici : http://kb.parallels.com/fr/113391

Documentation Parallels

Laisser un commentaire

Vous devez être connecté à votre espace client pour déposer un commentaire.

Vous ne trouvez pas de solution ?