Übersicht
Standardmäßig lässt Plesk Panel 12 in zwei Fällen zu, dass Dienstprogramme oder Skripte im Auftrag von root ausgeführt werden:
- Planung von Aufgaben mit dem Cron-Manager
- Verarbeitung von Ereignissen mit dem Ereignis-Manager-Tool
Dies macht den Panel-Server potenziell anfällig für bösartige Software.
Aktualisierte Cron-Funktionalität war in der Version Plesk 12.5 enthalten. Wenn Sie noch Version 12 verwenden, empfehlen wir Ihnen dringend, ein Upgrade durchzuführen, um die Vorteile der neuen Funktionen nutzen zu können.
Anleitung
Um diese Schwachstellen zu beseitigen, erstellen Sie die folgenden Dateien und lassen Sie sie leer:
$PRODUCT_ROOT_D/var/root.crontab.lock
hindert Benutzer daran, Cron-Tasks auszuführen und die Liste der Tasks anzuzeigen, die im Auftrag von root geplant sind.
$PRODUCT_ROOT_D/var/root.event.handler.lock
hindert Benutzer daran, Event-Handler zu erstellen, die im Auftrag von root funktionieren.
Das $PRODUCT_ROOT_D ist /usr/local/psa für RPM-basierte Systeme (RHEL / CentOS) oder /opt/psa auf DEB-basierten Systemen (Debian / Ubuntu).