Onderwerp: cPanel Password Reset Command Injection Vulnerability

Voor alle cPanel gebruikes hier.

/* BEGIN */

SECUNIA ADVISORY ID:
SA11111

VERIFY ADVISORY:
http://secunia.com/advisories/11111/

CRITICAL:
Highly critical

IMPACT:
System access

WHERE:
>From remote

SOFTWARE:
cPanel 5.x
cPanel 6.x
cPanel 7.x
cPanel 8.x
cPanel 9.x

DESCRIPTION:
Arab VieruZ has discovered a vulnerability in cPanel, allowing
malicious people to execute certain system commands on a vulnerable system.

The problem is that user input passed to the "user" parameter in the "resetpass" section isn't properly verified before being used. This can be exploited to inject various commands by supplying shell meta characters.

The vulnerability affects builds on all platforms up to and including version 9.1.0 build 34.

SOLUTION:
The vendor advises users of STABLE and RELEASE branches to disable the "Allow cPanel users to reset their password via email" feature in the WebHostManager.

According to the vendor, fixes for the RELEASE tree is still pending and fixed builds may be available within the next 48 hours.

The vulnerability has been fixed in the latest versions of the EDGE and CURRENT branches.

PROVIDED AND/OR DISCOVERED BY:
Arab VieruZ

/* EIND */

Bedankt, door te weinig tijd heb ik cpanel forums ook voor geen week meer kunnen checken.

Er is wel een stable uit:

Linux
STABLE
9.1.0-STABLE_63
(Fri Mar 12 04:12:31 2004)

WHM geeft ook zelf aan:

Security A Security hole has been discovered in the password reset feature, you can update to a new build (9.1.0 build 49 or later) which has a proper fix by clicking here. Severity:

close a hole in Cpanel.pm .. kind of ironic here since
resetpass.cgi.pl was actually not the problem

De update is nu volgens mij ook beschikbaar.

Ja, alleen jammer dat al mij FreeBSD servers nu een niet werkende Cpanel installatie hebben

We hadden de reset-password al uitgezet, maar Cpanel heeft toch te snel willen patchen en daarbij een aantal checks niet grondig genoeg uitgevoerd.

Handmatig bezig geweest, maar het is een tamelijke mess, dus nu is het wachten wanneer ze in staat zijn een fix uit te brengen...

Gelukkig werkt WWW en MAIL nog wel gewoon, anders was de stress een stuk groter geweest..

Origineel geplaatst door Dillard
Ja, alleen jammer dat al mij FreeBSD servers nu een niet werkende Cpanel installatie hebben

We hadden de reset-password al uitgezet, maar Cpanel heeft toch te snel willen patchen en daarbij een aantal checks niet grondig genoeg uitgevoerd.

Handmatig bezig geweest, maar het is een tamelijke mess, dus nu is het wachten wanneer ze in staat zijn een fix uit te brengen...

Gelukkig werkt WWW en MAIL nog wel gewoon, anders was de stress een stuk groter geweest..

Had ik gisteren ook ik heb gewoon even /scripts/upcp gedaan en alles werkte weer.

Origineel geplaatst door Dillard
Ja, alleen jammer dat al mij FreeBSD servers nu een niet werkende Cpanel installatie hebben

We hadden de reset-password al uitgezet, maar Cpanel heeft toch te snel willen patchen en daarbij een aantal checks niet grondig genoeg uitgevoerd.

Handmatig bezig geweest, maar het is een tamelijke mess, dus nu is het wachten wanneer ze in staat zijn een fix uit te brengen...

Gelukkig werkt WWW en MAIL nog wel gewoon, anders was de stress een stuk groter geweest..

Waarschijnlijk is het volgende wel voor jouw van toepassing:

"Attention FreeBSD users After updating to the 9.1.x builds, you may need to manually kill whostmgrd,cpaneld,and webmaild so cpsrvd can bind to the their respective ports. You can do this by running "killall -9 whostmgrd cpaneld webmaild" in a shell or a reboot. (Note: if you don't have a problem after upgrading then you do not need to do this)"

Ja heb ik gelezen, maar toen begon de ellende pas..... Zover ik het nu kan analyseren is de upcp nooit voltooid door allerlei issues met RH-rpm's, nieuwe perl versie en nog enkele zaken. Ook een handmatig /scripts/updatenow en /scripts/upcp bieden geen soelaas. Ik ben bang dat de FreeBSD patch iets te vroeg is gekomen, zonder degelijk test (zeker omdat zowel mijn 4.9 als 5.1 machines er last van hebben).

Origineel geplaatst door Dillard
Ja, alleen jammer dat al mij FreeBSD servers nu een niet werkende Cpanel installatie hebben

We hadden de reset-password al uitgezet, maar Cpanel heeft toch te snel willen patchen en daarbij een aantal checks niet grondig genoeg uitgevoerd.

Handmatig bezig geweest, maar het is een tamelijke mess, dus nu is het wachten wanneer ze in staat zijn een fix uit te brengen...

Gelukkig werkt WWW en MAIL nog wel gewoon, anders was de stress een stuk groter geweest..

zoiezo niet verstandig eerst te patchen zonder het in in een test omgeving te testen. Ik heb hiervoor een oude p200 en die voldoet prima. Misschien een leer voor de volgende keer.

Origineel geplaatst door Mikey


zoiezo niet verstandig eerst te patchen zonder het in in een test omgeving te testen. Ik heb hiervoor een oude p200 en die voldoet prima. Misschien een leer voor de volgende keer.

Huh ?? Ik ben een klant van Cpanel, dus zij zorgen voor een actuele versie van mijn software (waarvoor ze per jaar per server een vorstelijk bedrag toucheren). Zij dienen dit dus eerst zorgvuldig te testen en niet onder stress te snel te releasen, iets wat helaas bij Cpanel wel vaker voorkomt. Dus wat een P200 daarmee te maken heeft ? Ik mag me voorstellen dat ze bij Cpanel genoeg verdienen voor een test Rack