scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Plesk "PLESKSESSID" SQL Injection

Allgemein

scipID: 3306
Betroffen: Plesk
Veröffentlicht: 13.09.2007 (Nick I. Merritt)
Risiko: problematisch

Beschreibung

Plesk ist ein web-basiertes Konfigurationstool für Webserver und Webhosting, welches vom Hersteller SWsoft Inc. sowohl für Unix als auch für Microsoft Windows entwickelt wurde. Dieses für Webhoster kostenpflichtige Produkt wird von verschiedenen Internetdienstanbietern eingesetzt. Plesk gilt im Vergleich zu Confixx als funktionsreicher, die Lizenzen sind aber gestaffelt nach der Anzahl der zu verwaltenden Domains. Es ermöglicht die Verwaltung von Servern, ohne über eingehende Kenntnisse des Betriebssystems zu verfügen und es vereinfacht das Durchführen von komplexen Vorgängen, wie das Einrichten eines Mail- und Webservers für eine Domain. Ein Nachteil der Unix-Versionen von Plesk ist der Zwang, qmail als Mail Transfer Agent benutzen zu müssen. Nick I. Merritt meldet eine Schwachstelle, bei der durch die PLESKSESSID-Variable eine SQL Injection vorgenommen werden kann. Dies erlaubt es einem Angreifer, beliebige Daten einzusehen und/oder zu manipulieren.

Plesk erfreut sich auf Seiten von Hostern und Webspace Anbietern grosser Beliebtheit. Die vorliegende Schwachstelle droht hier aber das Bild zu trüben. Betroffene Hostmaster sollten darauf achten, dass diese Schwachstelle baldmöglichst behoben wird. Ein entsprechendes Update wurd von swsoft bereits zum Download freigegeben.

Exploiting

Klasse: SQL-Injection
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://kb.swsoft.com/en/2159

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://kb.swsoft.com/en/2159

Snort: –
Pattern: –

Quellen

Advisory: http://kb.swsoft.com/en/2159

CVE: CVE-2007-4892
OSVDB: 37009
Securityfocus: 25646
Secunia: 26741
X-Force: 36580
Securitytracker: –
VUPEN: –
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. September 2007
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter