[Wichtig!] ispcp 1.0.5 Security Fixing Anleitung

[Wichtig!] ispcp 1.0.5 Security Fixing Anleitung - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [Wichtig!] ispcp 1.0.5 Security Fixing Anleitung (/thread-11274.html)

[Wichtig!] ispcp 1.0.5 Security Fixing Anleitung - Lucan - 07-30-2010 08:08 PM

Für User die nicht so bewandert sind, hier mal alle aktuell bekannten Security Fixes für ispCP 1.0.5

Zuerst fixen wir folgendes Sicherheitsloch:
http://isp-control.net/forum/thread-11226-post-84851.html#pid84851

Code:

cd /var/www/ispcp/gui/client

Öffne die Datei und bearbeite Sie

Code:

nano sql_auth.php

Suche:

Code:

    $query = "

        SELECT

            `sqlu_name`, `sqlu_pass`

        FROM

            `sql_user`

        WHERE

            `sqlu_id` = ?

    ";

Ersetze durch:

Code:

    $query = "

        SELECT

            `sqlu_name`, `sqlu_pass`

        FROM

            `sql_user`, `sql_database`, `domain`

        WHERE

            `sql_user`.`sqld_id` = `sql_database`.`sqld_id`

        AND

            `sql_user`.`sqlu_id` = ?

        AND

            `sql_database`.`domain_id` = `domain`.`domain_id`

        AND

            `domain`.`domain_admin_id` = ?

        ;

    ";

Suche:

Code:

$rs = exec_query($sql, $query, $db_user_id);

Ersetze durch:

Code:

$rs = exec_query($sql, $query, array($db_user_id, $_SESSION['user_id']));

Abspeichern.

Jetzt fixen wir das Sicherheitsloch hier:
http://isp-control.net/forum/thread-11269-post-85150.html#pid85150

Code:

cd /var/www/ispcp/engine

Öffne die Datei und bearbeite Sie

Code:

nano ispcp-dmn-mngr

Suche:

Code:

"--database=\"$db_name\""; 

$rs = sys_command($cmd);

Ersetze durch:

Code:

"--database=\"$db_name\"";

$rs = sys_command_rs($cmd);

Suche:

Code:

"--database=\"$db_name\""; 

$rs = sys_command($cmd);

Ersetze durch:

Code:

"--database=\"$db_name\"";

$rs = sys_command_rs($cmd);

Suche:

Code:

"--database=\"$db_name\""; 

$rs = sys_command($cmd);

Ersetze durch:

Code:

"--database=\"$db_name\"";

$rs = sys_command_rs($cmd);

Abspeichern.

Weiter gehts Wink

Code:

cd /var/www/ispcp/engine/backup

Öffne die Datei und bearbeite Sie

Code:

nano ispcp-backup-all

Suche

Code:

$rs = sys_command($db_backupcmd);

Erstze durch:

Code:

$rs = sys_command_rs($db_backupcmd);

Abspeichern.

und die letzte
Öffne die Datei und bearbeite Sie

Code:

nano ispcp-backup-ispcp

Suche:

Code:

$rs = sys_command($db_backupcmd);

Ersetze durch:

Code:

$rs = sys_command_rs($db_backupcmd);

Abspeichern.

Jetzt löschen wir alle Log dateien im ispcp Verzeichniss.
(Ja, ich weiss es gibt bessere Lösungen, aber so machen denke ich DAUS am wenigsten falsch)

Code:

cd /var/log/

Code:

rm -r ispcp

Code:

mkdir ispcp

Code:

cd ispcp

Code:

mkdir ispcp-arpl-msgr

Code:

chmod 750 ispcp-arpl-msgr

Code:

chown vmail:mail ispcp-arpl-msgr

Das wars.