JARVIS
Das beliebte Multi-Server-Control-Panel ISPConfig erhielt, bereits im Oktober 2023, das Sicherheitsupdate 3.2.11p1, dass eine Lücke schließt die unter speziellen Umständen ausgenutzt werden kann.
ISPConfig 3.2.11p1 Release Notes
This is a security patch release, it fixes a PHP Code Injection Vulnerability in the ISPConfig language file editor.
The vulnerability requires that the attacker is correctly logged in as the ‘admin’ user (the account with superadmin privilege) in ISPConfig, so an attacker must know the administrator password or get access to an active admin account session. Not affected are logins from Clients, Resellers, or Email users and also not logins from additionally created admin users.
Also not affected are systems where the language editor is disabled. The language editor can be disabled by setting:
admin_allow_langedit=noin the file /usr/local/ispconfig/security/security_settings.ini.
Thank you to Egidio Romano from Karma(In)Security for reporting this issue.
You can see the full changelog here:
https://git.ispconfig.org/ispconfig/ispconfig3/-/milestones/90
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.