zurück zum Artikel

Eine Suche auf Yahoo oder Google nach einer bestimmten Zeichenkette verrät neben der PHP- und Serverkonfiguration auch das Passwort. Der Fehler tritt offenbar nur nach einem Update auf Plesk 8.1 auf, wenn der Server nicht neu gestartet wurde.

Durch eine Schwachstelle im Konfigurationstool für Webserver und Webhosting Plesk [1] ist es unter Umständen möglich, an das Systempasswort von Plesk zu gelangen. Dazu ist nur die Suche auf Yahoo oder Google nach phpinfo und einer weiteren Zeichenkette notwendig. In den Treffern findet sich neben Daten der PHP- und Serverkonfiguration auch das Passwort.

Die genaue Ursache des Fehlers ist nicht bekannt, er tritt offenbar nur nach einem Update auf Plesk 8.1 auf, wenn der Server nicht neu gestartet wurde. Eine Suche der heise-Security-Redaktion nach potenziell verwundbaren Systemen ergab daher auch nur eine weniger als hundert Server umfassende Liste. Der Hersteller Swsoft [2] ist über das Problem informiert und hat einen Hotfix [3] zur Verfügung gestellt, der für registrierte Kunden heruntergeladen werden kann. Alternativ lässt sich das Update auch über den Autoupdater installieren. Die Plesk-Entwickler empfehlen, das Admin-Passwort zu ändern. (dab [4])

URL dieses Artikels:
https://www.heise.de/-150819

Links in diesem Artikel:
[1] http://www.swsoft.com/en/products/plesk/
[2] http://www.swsoft.com/en/
[3] https://register.swsoft.com/login.php?redirect_page=patches/
[4] mailto:dab@ct.de

Copyright © 2007 Heise Medien