分类

标签

归档

cPanel安全更新通知

BlogEditor 发表于星期六, 12/08/2012 - 11:21发表在cPanel/WHM0条评论

cPane&WHM版本 11.30.7.4,11.32.5.15,11.34.0.11已经修复了多个安全问题,现在可以下载和安装这些版本。

安全问题如下:

Perl的可存储模块支持Perl数据结构的序列化与反序列化。cPanel&WHM中的此功能是用于缓存数据到磁盘,且在处理器之间转移数据的。在很多区域,这种缓存和进程间通信是跨越分离边界的。一个本地的恶意用户可以使用此行为,将代码注入序列化的数据结构,这样便允许了代码执行和权限扩大的可能性。

Perl的YAML::Syck模块功能与可存储模块的功能相似。之前cPanel&WHM中的YAML::Syck版本允许序列化数据在反序列化时进入任意包。这可被用于在对象析构函数中执行不安全的行为。

以前cPanel&WHM中的Locale::Maketext版本遭受来自 _compile()功能的两个缺陷,_compile()功能允许已经完成身份验证的用户通过提供特制的翻译短语来执行任意代码。

cPanel&WHM依靠Crypt::Passwd::XS Perl模块来执行密码散列。此模块存在的漏洞与CVE-2012-2143中公开的漏洞一样,当使用DES加密算法进行散列时,0×80个字符的密码会被截断。默认情况下,cPanel&WHM系统使用更强的MD5和SHA512加密散列算法。

以前cPanel&WHM中的Cpanel::Locale版本包括两个日期格式函数,它们可以将unsanitized用户输入的内容传递给一个子shell。一个完成身份验证的攻击者可以利用这个功能,绕过正常的本地代码执行限制,在本地系统上执行任意shell命令。

这些安全问题均由cPanel的发展与质量保证团队发现。

我们建立您将cPanel&WHM更新到如下版本:

更新 cPanel&WHM 11.30 到 11.30.7.3或更高版本
更新 cPanel&WHM 11.32 到 11.32.5.14或更高版本
更新 cPanel&WHM 11.34 到 11.34.0.10或更高版本

如果您对版本的更新升级还有任何疑问的话,请联系cPanel中国区分销商文德数据,在这里您可以得到最满意的答复。

更多

添加新评论