Vulnerability Note VU#673343
Parallels Plesk Panel phppath/php vulnerabilityOriginal Release date: 07 6月 2013 | Last revised: 07 6月 2013
概要Linux プラットフォーム上の Parallels Plesk Panel versions 9.0 - 9.2.3 には、リモートコード実行の脆弱性が存在します。
説明Linux プラットフォーム上の Parallels Plesk Panel versions 9.0 - 9.2.3 は、
CVE-2012-1823 と Plesk phppath スクリプトエイリアスの使用法の組み合わせで悪用される可能性があります。この脆弱性は実際に悪用されていることが報告されています。
影響認証されていないリモートの攻撃者が、Web サーバユーザのコンテキスト下で任意のコードを実行する可能性があります。
対策アップデートを適用してくださいParallels Plesk Panel 9.0 - 9.2.3 は、
サポート終了から3年以上経過しています。ユーザは最新版のバージョン 9.5.4 以降へアップグレードすべきです。Parallels は、影響を緩和する回避策として、
Knowledge base article 116241 を提供する予定です。
アップグレードできない場合は、以下の回避策の適用を検討してください。
PHP をアップデートしてくださいCVE-2012-1823 に対処したバージョンの
PHP にアップデートしてください。
アクセスを制限してください信頼されていないネットワークからは、Plesk Panel への接続を許可しないでください。
Vendor Information (Learn More)Vendor Status Date Notified Date Updated
Parallels Holdings Ltd Affected 06 Jun 2013 07 Jun 2013
If you are a vendor and your product is affected, let us know.
CVSS Metrics (Learn More)Group Score Vector
Base 7.5 AV:N/AC:L/Au:N/C:P/I:P/A:P
Temporal 6.5 E:H/RL:OF/RC:C
Environmental 4.9 CDP:ND/TD:M/CR:ND/IR:ND/AR:ND
Referenceshttp://kb.parallels.com/116241
http://kb.parallels.com/en/113818
http://www.parallels.com/products/plesk/lifecycle
http://seclists.org/fulldisclosure/2013/Jun/21
http://blogs.cisco.com/security/plesk-0-day-targets-web-servers/
http://kb.parallels.com/en/113814
http://www.php.net/archive/2012.php#id2012-05-03-1
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1823
CreditKingcope published an exploit for this vulnerability to the Full Disclosure mailing list.
This document was written by Jared Allar.
Other InformationCVE IDs: CVE-2012-1823
Date Public: 05 6月 2013
Date First Published: 07 6月 2013
Date Last Updated: 07 6月 2013
Document Revision: 15
FeedbackIf you have feedback, comments, or additional information about this vulnerability, please send us email.
↓クリックしていただけると助かります。(詐欺とかじゃないんで。。。)
PR