zurück zum Artikel

An einem Patch wird gearbeitet, im Forum kursiert darüber hinaus aber auch schon ein Hotfix, der manuell eingearbeitet werden kann. Das verwundbare Modul sollte bis zum Patch schleunigst deaktiviert werden.

In zPanel ist eine Sicherheitslücke aufgetaucht [1], mit der sich Angreifer Root-Zugriff auf Server verschaffen können. Die Sicherheitslücke schlummert im Modul ZPX HTPASSWD. Die zPanel-Entwickler arbeiten bereits an einem Patch, im Forum kursiert [2] darüber hinaus auch schon ein manuell einzuarbeitender Hotfix.

Da das Modul Benutzereingaben nicht ausreichend überprüft, kann ein Angreifer beliebige Shell-Befehle in den Server einschleusen. Hierzu muss er gegenüber zPanel authentifiziert sein. Der Entwicklungsleiter Bobby Allen rät [3] zPanel-Nutzern ausdrücklich, das verwundbare Modul zu deaktivieren.

Das Open-Source-Projekt zPanel war zuletzt in die Schlagzeilen geraten, als ein Support-Mitarbeiter ein Forenmitglied so sehr beschimpfte, dass sich wohl einige Nutzer rächten [4]. Der zPanel-Hauptserver wurde gehackt. (kbe [5])

URL dieses Artikels:
https://www.heise.de/-1886437

Links in diesem Artikel:
[1] http://forums.zpanelcp.com/showthread.php?27898-Serious-Remote-Execution-Exploit-in-Zpanel-10-0-0-2
[2] https://github.com/bobsta63/zpanelx/commit/fe9cec7a8164801e2b3755b7abeabdd607f97906
[3] http://forums.zpanelcp.com/showthread.php?27928-Remote-Execution-Exploit-Please-disable-your-HTPASSWD-module-immediately!
[4] https://www.heise.de/news/zPanel-Projekt-gehackt-weil-sich-Support-Mitarbeiter-daneben-benahm-1864196.html
[5] mailto:kbe@heise.de

Copyright © 2013 Heise Medien