Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Plesk exploit és botnet

2013.06.07. 10:51 | buherator | Szólj hozzá!

A napokban Kingcope egy Plesk exploitot tett közzé a Full-Disclosure listán. A szakértő szerint a problémát az okozza, hogy a Plesk egyes változataiban a /usr/bin könyvtár a ScriptAlias beállítással ki van lógatva a nyilvános webes interfészre, így azonnali parancsvégrehajtás érhető el.

A bejelentést többen szkeptikusan fogadták, mivel a problémát nem tudták reprodukálni, egy ilyen méretű szarvashiba a konfigurációban pedig igen valószínűtlennek tűnt. Mára azonban többen is megerősítették, hogy a probléma valós, bár egyesek szerint nem az Apache beállítás okozza a problémát, hanem a Pleskkel szállított PHP motor sérülékeny a CVE-2012-1823 hibára (ezt egyébként Kingcope az eredeti release-ben cáfolta). A RepoCERT szerint ráadásul egy nagyjából 900 hosztot számláló, IRC-n vezérelt botnet is kiépült a hiba kihasználásával mely óránként további 40 hoszttal bővül.

A probléma tehát valósnak tűnik, de az érintett Plesk verziók illetve konfigurációk köre egyelőre nem tisztázott. A SANS ISC a Google-s User-Agenttel érkező POST-ok figyelését javasolja, ami nyilván hülyeség, nézzétek meg az exploitot, és figyeljetek oda a Plesk installációkra!

Címkék: php apache 0day plesk kingcope

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.