公開日:2013/06/10 最終更新日:2013/06/10

JVNVU#90102556
Parallels Plesk Panel に任意のコードが実行される脆弱性

概要

Parallels Plesk Panel には、任意のコードが実行される脆弱性が存在します。

影響を受けるシステム

  • Parallels Plesk Panel バージョン 9.0 から 9.2.3 までの Linux 版

詳細情報

Parallels Plesk Panel が稼働しているウェブサーバにおいて、phppath のエイリアス設定に関する問題と、CVE-2012-1823 の問題が同時に存在する場合に、任意のコードが実行される可能性があります。

なお、CERT/CC によると、本問題を使用した攻撃活動が行われているとのことです。

想定される影響

遠隔の第三者によって、任意のコードが実行される可能性があります。

対策方法

アップグレードする
開発者によると、バージョン 9.0 から 9.2.3 は、サポートが終了しているため、最新版である 11系にアップグレードすることを推奨しています。

ワークアラウンドを実施する
アップグレードするまでの間、以下の回避策を適用してください。

  • 開発者が提供するスクリプトを実行し、Apache の設定を変更する
  • PHP を最新版にアップデートする

なお、開発者によると、現在サポートされているバージョン (9.5.4、10.x、11.x) および既にサポートが終了している 8.x は、本脆弱性の影響を受けないとのことです。

ベンダ情報

ベンダ リンク
Parallels Parallels Plesk Panel: phppath/php vulnerability

参考情報

  1. CERT/CC Vulnerability Note VU#673343
    Parallels Plesk Panel phppath/php vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.06.10における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia