zPanel-Lücke erlaubt Root-Zugriff auf Server

An einem Patch wird gearbeitet, im Forum kursiert darüber hinaus aber auch schon ein Hotfix, der manuell eingearbeitet werden kann. Das verwundbare Modul sollte bis zum Patch schleunigst deaktiviert werden.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Lesezeit: 1 Min.

In zPanel ist eine Sicherheitslücke aufgetaucht, mit der sich Angreifer Root-Zugriff auf Server verschaffen können. Die Sicherheitslücke schlummert im Modul ZPX HTPASSWD. Die zPanel-Entwickler arbeiten bereits an einem Patch, im Forum kursiert darüber hinaus auch schon ein manuell einzuarbeitender Hotfix.

Da das Modul Benutzereingaben nicht ausreichend überprüft, kann ein Angreifer beliebige Shell-Befehle in den Server einschleusen. Hierzu muss er gegenüber zPanel authentifiziert sein. Der Entwicklungsleiter Bobby Allen rät zPanel-Nutzern ausdrücklich, das verwundbare Modul zu deaktivieren.

Das Open-Source-Projekt zPanel war zuletzt in die Schlagzeilen geraten, als ein Support-Mitarbeiter ein Forenmitglied so sehr beschimpfte, dass sich wohl einige Nutzer rächten. Der zPanel-Hauptserver wurde gehackt. (kbe)