Horde、Pleskリモート脆弱性:概要と確認方法(2012年1-3月)

本ガイドはPlesk管理画面を搭載の仮想専用、専用サーバにおける下記2件の脆弱性の概要、対応状況についてご案内いたします。
●Hordeの脆弱性(~2012年2月)
●Pleskリモート脆弱性(~2012年3月)

セルフマネージドのサービスであるため、各種セキュリティ対策や個別の パッチ適応についてもお客様にご対応をお願いしていることもございますが上記2点は、緊急性が高かったため当社で全台に対して対応させていただいて おります。 参考URL:
>【メンテナンス完了】webmailプログラム(Horde)の脆弱性メンテナンスについて(2012/02/03)
【メンテナンス完了】Plesk Control Panel の脆弱性対応完了のお知らせ

共用プランもPleskを搭載しており、上述の脆弱性が該当しておりましたが 本ガイドにつきましてはroot権限をご提供のADVANCE、EXPERT、 Pleskオプション搭載のEX-SCALEプランの方に対してのご案内となります。
以下概要と対応状況確認方法をまとめさせていただきましたのでご確認ください。

また本ガイド掲載以外にもPlesk管理画面上でアップデート可能なパッチも 公開されております。
Plesk8.4、Plesk8.6については以前ご案内させていただきましたガイドと 同等の方法でアップデートが可能となっております。Pleskの基本機能ともいえる Base Package of Plesk の管理画面上で更新する方法については 以下に掲載しておりますので、定期的にご確認いただくことをお勧めいたします。
Base Package of Pleskのアップデート【ADVANCE/EXPERT/Plesk8】

対象システムとPleskのバージョン

■ADVANCE、EXPERTプラン(Pleskバージョン 8.4、8.6 ※)
■Pleskオプション搭載のEX-CLOUDシリーズ(EX-SCALE)(Pleskバージョン8.4、8.6他※)
Pleskのバージョンの確認方法を教えてください。

※ただし2012年2月7日以降に出荷されたものについては出荷時にその時点での最新のアップデートが適応済みとなっています。現在ご利用のサーバの出荷日についてはこちらでご確認ください。
契約プランの開始日はどのように確認できますか?

※当社で出荷させていただいているPleskk8.4、8.6以外のバージョン(Plesk9.x以降、Plesk10.X(10.4)未満)においても脆弱性が確認されております。Plesk8.x系のみサポートさせていただいておりますので、本ガイドで詳細はご案内しませんが、 個別にアップグレード等されている方は後述の関連リンクをご参照ください。

Hordeの脆弱性の概要(2012年1月末~2012年2月)

脆弱性概要

ウェブメールプログラムとして搭載されているHordeの画面に  クロスサイトスクリプティング(XSS)の脆弱性があり、 不正プログラムを起動させる、Apacheウェブサーバのアクセス権を奪取する等の 危険性があることが確認されました。

パッチ概要

2012年2月3日までにはメーカから案内されたパッチ対応を完了しております。
【メンテナンス完了】webmailプログラム(Horde)の脆弱性メンテナンスについて(2012/02/03)
(対象:Plesk8.4、8.6他)

実際には対象ファイルの置き換え対応となります。
対象ファイル:/usr/share/psa-horde/lib/Horde/Image.php

パッチ対応の確認方法

以下のチェックサムコマンドを発行し同じ内容となっていればパッチ適応が完了しています。
※こちらはPlesk8.4、8.6のみの案内ですのでご注意ください。

# md5sum /usr/share/psa-horde/lib/Horde/Image.php
0165ea34ca2935a528c6f1108ab89237 /usr/share/psa-horde/lib/Horde/Image.php

⇒赤字の文字列が一致していればこの脆弱性で最も重要なパッチは当たっていることになります。

Pleskリモート脆弱性(2012年2月~2012年3月)

脆弱性概要

Pleskの管理画面をご利用の方に匿名の攻撃者により Plesk サーバがリモートで悪用される危険性がございました。
Pleskのクライアントユーザのパスワードやドメインユーザのパスワードが パスワードの強度にかかわらず漏洩し、クライアントおよびドメイン領域の ファイルを操作される事象などが確認されております。

※パッチ適応前にすでにパスワードが漏洩してしまった場合は、パッチ適応後 にも、攻撃者によるログインが可能となっているため、パッチ適応ごに被害が 確認されるケースもございます。その場合は、パスワードの変更やアクセス権の調整、Pleskコントロールパネルへの接続元IPアドレス制限等をお願いしております。

パッチ概要

【メンテナンス完了】Plesk Control Panel の脆弱性対応完了のお知らせ

実際には対象ファイルの置き換えでの対応となります。
対象ファイル:/usr/local/psa/admin/plib/api-rpc/Agent.php

パッチ対応の確認方法

以下のチェックサムコマンドを発行し同じ内容となっていればパッチ適応 が完了しています。
※こちらはPlesk8.4、8.6のみの案内ですのでご注意ください。

# md5sum /usr/local/psa/admin/plib/api-rpc/Agent.php
983082cefd29da225f0c27b921e654f4 /usr/local/psa/admin/plib/api-rpc/Agent.php

⇒赤字の文字列が一致していればこの脆弱性で最も重要なパッチは当たっていることになります。

関連外部リンク

[フィックス] Plesk Panel のリモート脆弱性への対応:KB Parallels
Parallels Plesk Panel 8.6.x、9.5.x、10.x、および Parallels Small Business Panel のマイクロアップデートを使用するには
お使いの Plesk Panel 8.x、9.x、10.0、10.1、10.2、10.3 に脆弱性がないことを確認するには
※上記ではPleskリモート脆弱性についての対応ファイルをチェックする スクリプトを紹介しています。