Sicherheitsupdate für Serverkonfigurationstool PLESK [Update]
Über eine SQL-Injection-Schwachstelle ist es möglich, die PLESK-Datenbank zu manipulieren.
- Daniel Bachfeld
Der Hersteller SWSoft weist auf eine Lücke in seinem web-basierten Konfigurationstool für Webserver und Webhosting PLESK for Windows hin. Über eine SQL-Injection-Schwachstelle ist es möglich, die PLESK-Datenbank zu manipulieren. Einzelheiten nennt SWSoft nicht. Berichten zufolge soll aber ein Fehler in der Datei auth.php3 bei der Auswertung des PLESKSESSID-Cookies Ursache der Lücke sein.
Betroffen sind nur die Plesk-Versionen für Windows 7.6.1, 8.1.0, 8.1.1 und 8.2.0. Der Hersteller hat eine überarbeitete Versionen der Datei auth.php3 zum Download bereit gestellt, die Anwender im Verzeichnis %plesk_dir%\admin\auto_prepend installieren sollen.
Update
Die Linux-Versionen von PLESK Plesk 8.2.0, Plesk 8.0.0, Plesk 8.0.1 und Plesk 8.1.0 sind ebenfalls verwundbar. Der Hersteller hat auch dafür ebenfalls ein Update veröffentlicht.
Siehe dazu auch:
- [FIX] SQL Injection vulnerability, Patch von PLESK
(dab)
