IMPORTANT et URGENT faille de =?ISO-8859-15?Q?securit=E9?= proftp et plesk

Bonsoir,
Une faille de sécurité importante dans ProFTPD permet l’exécution
de code en root. Les versions depuis la 1.3.2 sont vulnérables.
La derničre version 1.3.3c corrige la faille.

Les releases OVH ne sont pas impactées.

PLESK/PARALLELS
—————
Les utilisateurs de Plesk Panel 9.5 et 10 sous Linux et de SMB
sont impactés et doivent mettre IMPÉRATIVEMENT ET RAPIDEMENT ŕ
jour leur Plesk, via l’interface web ou en ligne de commande :
————————————————————–
/usr/local/psa/admin/sbin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base
————————————————————–

C’est trčs simple et rapide. C’est aprčs que cela se complique:
aprčs la mise ŕ jour, vous serez toujours en version 1.3.2e. Le
numéro de la version ne change pas … Par contre la faille de
sécurité est corrigé …

Donc pour vérifier que vous avez bien le dernier micro-patch de
Plesk, il faut taper:
————————————————————–
# cat /root/.autoinstaller/microupdates.xml
————————————————————–

Ce qui vous donne:
————————————————————–
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<patches>
<product id="plesk" version="9.5.2">
<patch version="6" timestamp="" />
</product>
</patches>
————————————————————–
Et cherchez dedans la version, dans l’exemple "version 6"

En donc si vous avez:
– Plesk 9.5.2
la version doit ętre #6
– Plesk 9.5.3
la version doit ętre #1
– Plesk 10.0.1
la version doit ętre #1
– SMB
la version doit ętre #1

Si vous avez la bonne version, bravo ! Vous avez gagné les
étoiles de l’admin de vendredi soir 🙂

En savoir plus:

http://bugs.proftpd.org/show_bug.cgi?id=3521
http://www.parallels.com/products/plesk/ProFTPD

Amicalement
Octave