JVNDB-2013-002926
|
Parallels Plesk Panel に任意のコードが実行される脆弱性
|
|
Parallels Plesk Panel には、任意のコードが実行される脆弱性が存在します。
Parallels Plesk Panel が稼働しているウェブサーバにおいて、phppath のエイリアス設定に関する問題と、CVE-2012-1823 の問題が同時に存在する場合に、任意のコードが実行される可能性があります。
なお、CERT/CC によると、本問題を使用した攻撃活動が行われているとのことです。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Parallels
- Parallels Plesk Panel バージョン 9.0 から 9.2.3 までの Linux 版
|
|
|
遠隔の第三者によって、任意のコードが実行される可能性があります。
|
|
[アップグレードする]
開発者によると、バージョン 9.0 から 9.2.3 は、サポートが終了しているため、最新版である 11系にアップグレードすることを推奨しています。
[ワークアラウンドを実施する]
アップグレードするまでの間、以下の回避策を適用してください。
* 開発者が提供するスクリプトを実行し、Apache の設定を変更する
* PHP を最新版にアップデートする
なお、開発者によると、現在サポートされているバージョン (9.5.4、10.x、11.x) および既にサポートが終了している 8.x は、本脆弱性の影響を受けないとのことです。
|
|
Parallels
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2013-4878
|
|
- JVN : JVNVU#90102556
- National Vulnerability Database (NVD) : CVE-2013-4878
- US-CERT Vulnerability Note : Vulnerability Note VU#673343
|
|
- [2013年06月11日]
掲載
[2013年07月22日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
共通脆弱性識別子(CVE):CVE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2013-4878) を追加
[2013年08月06日]
CVSS による深刻度:内容を更新
|
