Current time: 11-23-2024, 05:08 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[Wichtig!] ispcp 1.0.5 Security Fixing Anleitung
Author Message
Lucan Offline
Member
*
Beta Team

Posts: 982
Joined: Jul 2008
Reputation: 12
Post: #1
Exclamation [Wichtig!] ispcp 1.0.5 Security Fixing Anleitung
Für User die nicht so bewandert sind, hier mal alle aktuell bekannten Security Fixes für ispCP 1.0.5

Zuerst fixen wir folgendes Sicherheitsloch:
http://isp-control.net/forum/thread-1122...l#pid84851

Code:
cd /var/www/ispcp/gui/client
Öffne die Datei und bearbeite Sie
Code:
nano sql_auth.php
Suche:
Code:
    $query = "
        SELECT
            `sqlu_name`, `sqlu_pass`
        FROM
            `sql_user`
        WHERE
            `sqlu_id` = ?
    ";

Ersetze durch:
Code:
    $query = "
        SELECT
            `sqlu_name`, `sqlu_pass`
        FROM
            `sql_user`, `sql_database`, `domain`
        WHERE
            `sql_user`.`sqld_id` = `sql_database`.`sqld_id`
        AND
            `sql_user`.`sqlu_id` = ?
        AND
            `sql_database`.`domain_id` = `domain`.`domain_id`
        AND
            `domain`.`domain_admin_id` = ?
        ;
    ";
Suche:
Code:
$rs = exec_query($sql, $query, $db_user_id);
Ersetze durch:
Code:
$rs = exec_query($sql, $query, array($db_user_id, $_SESSION['user_id']));

Abspeichern.



Jetzt fixen wir das Sicherheitsloch hier:
http://isp-control.net/forum/thread-1126...l#pid85150

Code:
cd /var/www/ispcp/engine
Öffne die Datei und bearbeite Sie
Code:
nano ispcp-dmn-mngr
Suche:
Code:
"--database=\"$db_name\"";
$rs = sys_command($cmd);
Ersetze durch:
Code:
"--database=\"$db_name\"";
$rs = sys_command_rs($cmd);
Suche:
Code:
"--database=\"$db_name\"";
$rs = sys_command($cmd);
Ersetze durch:
Code:
"--database=\"$db_name\"";
$rs = sys_command_rs($cmd);
Suche:
Code:
"--database=\"$db_name\"";
$rs = sys_command($cmd);
Ersetze durch:
Code:
"--database=\"$db_name\"";
$rs = sys_command_rs($cmd);
Abspeichern.

Weiter gehts Wink
Code:
cd /var/www/ispcp/engine/backup
Öffne die Datei und bearbeite Sie
Code:
nano ispcp-backup-all
Suche
Code:
$rs = sys_command($db_backupcmd);
Erstze durch:
Code:
$rs = sys_command_rs($db_backupcmd);
Abspeichern.

und die letzte
Öffne die Datei und bearbeite Sie
Code:
nano ispcp-backup-ispcp
Suche:
Code:
$rs = sys_command($db_backupcmd);
Ersetze durch:
Code:
$rs = sys_command_rs($db_backupcmd);
Abspeichern.

Jetzt löschen wir alle Log dateien im ispcp Verzeichniss.
(Ja, ich weiss es gibt bessere Lösungen, aber so machen denke ich DAUS am wenigsten falsch)


Code:
cd /var/log/
Code:
rm -r ispcp
Code:
mkdir ispcp
Code:
cd ispcp
Code:
mkdir ispcp-arpl-msgr
Code:
chmod 750 ispcp-arpl-msgr
Code:
chown vmail:mail ispcp-arpl-msgr



Das wars.
(This post was last modified: 07-30-2010 10:45 PM by ZooL.)
07-30-2010 08:08 PM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)