Lançado um de patch de segurança que corrige a vulnerabilidade de injeção de código PHP no editor de arquivos de linguagem ISPConfig.
A vulnerabilidade exige que o invasor esteja conectado corretamente como usuário ‘admin’ (a conta com privilégio de superadmin) no ISPConfig, portanto, o invasor deve saber a senha do administrador ou obter acesso a uma sessão de conta de administrador ativa. Não são afetados os logins de clientes, revendedores ou usuários de e-mail e também não são afetados os logins de usuários administradores criados adicionalmente.
Também não são afetados os sistemas onde o editor de linguagem está desabilitado. O editor de idioma pode ser desativado configurando o arquivo /usr/local/ispconfig/security/security_settings.ini.
admin_allow_langedit = no
Distribuições Linux suportadas
– Debian 9 – 12 (recomendado) e testes Debian
– Ubuntu 18.04 – LTS – 22.04 LTS (recomendado)
– CentOS 7 – 8
Baixar ISPConfig 3.2.11p1
https://www.ispconfig.org/downloads/ISPConfig-3.2.11p1.tar.gz
As instruções de instalação do ISPConfig podem ser encontradas aqui:
https://www.ispconfig.org/ispconfig-3/documentation/
Como posso atualizar para o ISPConfig 3.2.11p1?
É possível atualizar para o ISPConfig 3.2.11p1 usando o comando ispconfig_update.sh.
Instruções de atualização manual
Caso você precise executar a atualização manualmente sem usar ispconfig_update.sh, utilize o procedimento de download manual abaixo:
Execute os seguintes comandos como usuário root em seu servidor ISPConfig:
cd/tmp
wget https://www.ispconfig.org/downloads/ISPConfig-3.2.11p1.tar.gz
tar xvfz ISPConfig-3.2.11p1.tar.gz
cd ispconfig3_install/instalar
php -q atualização.php