サーバー管理ソフトPleskの開発元のParallels社より、phppathの脆弱性が発見されたという報告がございました。本脆弱性を利用し、認証されていない攻撃者がリモートで機密情報を入手し、DoS(Denial Of Service)状態を引き起こしたり、ウェブサーバの権限で任意のコードを実行できる可能性があります。早急に対策を行っていただけますようお願い致します。


■対象:

・VPS、専用サーバー、クラウドサーバーでPleskPlesk9.0~9.5.X未満をお使いのお客様
・Plesk9.0、9.2 から 10.x/11.x に直接アップグレードした(9.5.xへの順次アップグレードをスキップした)Ubuntu および Debian 系 Linux サーバ

※ご注意※

・Windows向け製品に影響はありません。
・2011年2月より販売のFX用VPSプランをご利用のお客様は、Pleskを利用しておりませんので、特に対応の必要はございません。
・共有サーバープランをご利用のお客様は、使えるねっとにて対策をいたしますので、特に対応の必要はございません。


■対策:

1.Plesk9のバージョンアップ

Plesk9は、ライフサイクルポリシーにて開示させていただいておりますとおり、2013年6月9日にサポート終了を迎えております。アップデートを含めた公式サポートサービスは一切提供されなくなりますため、製品への脆弱性問題はお客様側でご対応いただく必要がございます。
Plesk9をお使いのお客様は、今後、適切なサポートをご提供するため、Pleskの最新バージョン(Plesk11.09以上)へバージョンアップ、または新サーバーへの移行を推奨いたします。なお、バージョンアップにより、本脆弱性についての対応も完了いたします。
※Pleskアップデータを用いた、Plesk9.2または9.3から9.5.4のバージョンアップはお客様のサーバーに影響がでる場合がございますので、実施しないようお願い申し上げます。
10に上げる場合には、メジャーバージョンの10.4.4、11に上げる場合には、11.09以上へお願いいたします。

2.パッチの適用

バージョンアップまたは新サーバーへの移行がすぐに難しい場合には、別途、下記の対策をお願いいたします。なお、使えるねっとでも、お客様のサーバーの Pleskにつきまして、セキュリティ上、緊急に対策が必要と判断される場合、脆弱性対策を実施させていただきます。但し、使えるねっとですべての Pleskに関する脆弱性の対策を行うことをお約束するものではございません。必ずサーバーの管理者であるお客様にて脆弱性の対策の実施、また対策後のご確認をお願いいたします。

Plesk Panel 9.0~9.2.3をお使いの場合

1.マイクロアップデートを最新にしてください。
2.スクリプトアーカイブ wrapper.zip を、スクリプトをダウンロードし、実行します。下記の添付ファイルからダウンロードしてください。

※ご注意※

お客様が独自に各ドメインのhttpd.includeファイルを修正されている場合、当スクリプト実行後、ファイルの修正が消えてしまいます。該当するお客様は、事前にhttpd.includeファイルのバックアップをお願いいたします。なお、Pleskが生成する設定ファイルを直接修正することは、Pleskの利用上推奨されません。


———————————————————————————
# wget http://kb.parallels.com/Attachments/25053/Attachments/wrapper.zip
# unzip wrapper.zip
# cd wrapper
# bash install.sh
———————————————————————————

Plesk9.3.X

マイクロアップデートを最新にしてください。

Plesk9.0/9.2 から 10.x/11.x へ直接アップグレードした Ubuntu および Debian 系 Linux サーバ

下記のマイクロアップデートにて修正されます。
11.0.9 MU #54
10.4.4 MU #51
10.3.1 MU #21
10.2.0 MU #20
10.1.1 MU #25
10.0.1 MU #19


3.PHP の脆弱性(CVE-2012-1823 )についての対応

本問題に関連し、2012年5月3日公開の PHP の脆弱性(CVE-2012-1823 )につきまして、対策状況の確認をお願いいたします。詳細は こちら をご確認ください。