[plesk] Fallo de seguridad en proftpd II

Otra nota oficial de Plesk, indica que las versiones afectadas son Plesk 9.5.x , Plesk 10 y Parallels Small Business Panel 10.2.

Parallels strives to deliver solutions to potential vulnerability issues of component parts as soon as they are identified.  Please pay attention to this notification as it contains an Important Security Notification. More information can be found on the Parallels website, by visiting: http://www.parallels.com/products/plesk/proftpd 

Affected Products: Parallels Plesk Panel 9.5x and 10 include this vulnerability (no prior versions included this version of the component). Parallels Small Business Panel 10.2 is also affected.

Details of the Vulnerability or Exploit:  A flaw in ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.
ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application’s stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.

Fixes for the Vulnerability or Exploit: Parallels has used its micro-update patch functionality in Plesk 9.5x and 10.x to fix this exploit. You can run the Parallels AutoInstaller to fix this or check the Updates section of your Plesk Panel 9.5x or 10.x to fix this. This is a file-replace, as opposed to a new install so it will be quick and reliable. To find this in the GUI:

  • Parallels Plesk Panel 9.5x: “Home” -> “Updates” -> Select the Panel version which has updates -> click “Install” ?
  • Parallels Plesk Panel 10.x:“Server Management” -> “Tools & Utilities” -> “Updates” -> “Update Components” -> click “Continue”

These ProFTPD fixes are also available from the Parallels AutoInstaller for Plesk 9.52, 9.53, and Plesk 10.01. You should already have downloaded this as part of Plesk. Use:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller

Or use the following parameters:

# $PRODUCT_ROOT_D/admin/sbin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base

The patch for Parallels Small Business Panel 10.2 will be posted by 12 noon GMT on Friday November 12, 7am EST in the US)
 
If you have any concerns or need assistance applying these patches to your system, please contact us at:
http://www.parallels.com/support/plesk/free10assistance_toc/ . A valid Plesk license key is required.

Thank you for your attention to this important matter.

The Parallels Plesk Panel Team

[plesk] Fallo de seguridad en proftpd

Nota de prensa oficial de Paralllels:

Important Plesk Notification:

ProFTPD Remote Code Execution Vulnerability and Exploit
A flaw in the popular ProFTPD FTP server potentially allows unauthenticated attackers to compromise a server. The problem is caused by a buffer overflow in the pr_netio_telnet_gets() function for evaluating TELNET IAC sequences.

ProFTPD bug report: http://bugs.proftpd.org/show_bug.cgi?id=3521

Parallels Plesk Panel 9.x, 9.5x and 10 include this vulnerability. Parallels will issue Micro Updates (hotfixes) for 9.5.2 and 9.5.3 no later than 12:00 GMT (noon) on Thursday November 11, (7:00am EST in the US) to fix this.
The patch for Parallels Plesk Panel 10.01 will be released at 17:00 GMT on Thursday November 11, (12:00pm EST in the US).
Patches for Plesk 9.0, 9.22, and 9.3 will be posted by 12 noon GMT on Friday November 12, (7am EST in the US). Parallels updates on this will be coming soon.

MORE INFORMATION:
Updating to ProFTPD version 1.3.3c or disabling FTP services is the only current solution to this vulnerability. ProFTPD is capable of processing TELNET IAC sequences on port 21; the sequences enable or disable certain options not supported by the Telnet or FTP protocol itself. The buffer overflow allows attackers to write arbitrary code to the application’s stack and launch it. Updating to version 1.3.3c of ProFTPD solves the problem.
The update also fixes a directory traversal vulnerability which can only be exploited if the “mod_site_misc” module is loaded. This flaw could allow attackers with write privileges to leave their permitted path and delete directories or create symbolic links
outside of the path. The module is not loaded or compiled by default.

A remote root exploit is available: [Full-disclosure]ProFTPD IAC Remote Root Exploit
A Proftpd update for Plesk has been provided by Atomic Rocket Turtle. To apply the update, execute the commands below.
# wget -O – http://www.atomicorp.com/installers/atomic |sh # yum upgrade psa-proftpd
Please review http://www.parallels.com/products/plesk/ProFTPD for updates to this security issue.

Por supuesto se recomienda actualizar de forma urgente.

Bargento 1.0 y Red Hat Certified Engineer (RHCE)

Otro día a tope !

Acabo de volver del primer evento Oficial en España de Magento: bargento 1.0 . La verdad es que me ha gustado bastante y la pena ha sido no poder estar un poco más de tiempo y alguna charla un poco más técnica. Roy Rubin ( CEO de Magento )  ha estado comentando los pilares y la historia de Magento. La empresa Ydral ha mostrado a grandes rasgos el potencial de negocio que es magento y NBS-Systems nos ha destripado su estructura interna de servicio de alta disponibildad de Magento, con sus resultados de 0,24 segundos para cargar el frontend  de la demo-store con 100 usuarios concurrentes con su sistema open-source ( me ha encantando oirles aunque fueran franceses 😀 ). Zend estaba también presente con sus herramientas enterpraise y BeeShopy ( me he tenido que ir a medias ) mostrando las ventajas de las redes sociales para comerciar. Todo aderezado con un cafe de bienvenida y un almuerzo de pinchos que no ha estado mal. En general sigo pensando que MadridOnRails rulez.

Como colofón me han confirmado una plaza para el curso Red Hat Certified Engineer (RHCE) con lo que espero estar certificado para comienzos del año que viene. A ver si me confirman plaza para el curso de CCNP.

[kvm] Webminar de redhat : Virtualización

El miércoles 10 de noviembre de 2011 Redhat ofrece un webminar acerca de la virtualización con su producto de virtualización (kvm). La agenda es la siguiente:

Agenda

11:00 – 11:30
RHEV y la Virtualización
de Desktops

  • Overview del offering the
    Red Hat para VDI
  • SPICE: el nuevo protocolo
    de desktops remotos open source
  • Arquitectura y Sizing de entornos
    de escritorio virtualizado

11:30 – 12:00
RHEV y la Virtualización
de Servers

  • Overview del offering de Red
    Hat para virtualización de servidores
  • Atajando el “VM sprawling”
    con estrategias de gestión de sistemas
  • De la virtualización al cloud

Más información en: http://twitter.com/RedHat_Neovalia

Microsoft cierra Window Live Spaces

El el 16 de marzo de 2011, el servicio Windows Live Spaces se cierra para ofrecer un nuevo servicio basado en WordPress. Lo usuarios de cuentas de Windows Live están recibiendo notificaciones con los pasos a realizar para migrar su servicio a la nueva plataforam.
Se recuera que a partir del 4 de Enero ya no se podrán realizar cambios en el blog de Windows Live Spaces pero seguirá siendo visible. hasta el 16 de Marzo de 2011 que se cerrará totalmente.

Más información en Centro de ayuda de Windows Live spaces

[plesk] Parallels Plesk Panel 10: capturas de pantalla

Primeras capturas de pantallas :

Plesk Panels 10 - general server configuration
Plesk Panels 10 - general server configuration
Plesk Panels 10 - server health, apache status
Plesk Panels 10 - server health, apache status
Plesk Panels 10 - server health, apache status and more options
Plesk Panels 10 - server health, apache status and more options
Plesk Panels 10 - system statistics
Plesk Panels 10 - system statistics

Como podeis observar, el interface ha sido retocado para ser más claro y además es bastante más ligero. Aún así guarda el 95% de parecido con la versión anterior. Echaremos un vistazo más a fondo para ver que se esconde por dentro.

[Plesk] Parallels Plesk Panel 10: Cambiar el puerto apache

Tan sólo llevamos unos minutos revisando documentación y nos encontramos con esta nueva característica: cambiar el puerto de apache:

http://download1.parallels.com/Plesk/PP10/10.0.1/Doc/en-US/online/plesk-apache-configuration-guide/index.htm

La primera impresión al leer la documentación es que Plesk 10 aún está en beta, pero ha sido liberada, y será madurada en las siguiente releases. Hay una característica medianamente aceptable y es que ahora hay unas plantillas para lo servicios que se pueden modificar y desde estas plantillas se generan las configuraciones para los servicios ( lease websrvmng –reconfigure-all ). Esta característica está bien, pero al llegar al apartado de cambiar apache de puerto, podemos leer esto:

To change the number of Apache HTTP port:

Find all occurrences of the string $VAR->server->webserver->httpPort and replace them with the required port number enclosed in quotation marks, for example: "3456">.

To change the number of Apache HTTPS port:

Find all occurrences of the string $VAR->server->webserver->httpsPort and replace them with the required port number enclosed in quotation marks, for example: "4567".

En resumen que hay que reemplazar todas la variables donde se indica el puerto “$VAR->server->webserver->httpPort” por el puerto en el que queremos que escuche Apache. Sería mucho más fácil definir un fichero con constantes y modificarlo directamente en el fichero. Parece un claro indicador de que aún faltan cosas por pulir.

[Plesk] Parallels Plesk Panel 10

Acaba de ser liberado esta mañana Parallels Plesk Panel 10 !!!!
Calculando a ojo… llevan 2 años para liberarlo y nos trae todas estas novedades :

  • Cambian algunos terminos como templates a planes de servicio. Todo orientado a servicios y cuentas de cliente
  • Se permtie el cambio de un tipo de plan de servicio a otro
  • Nueva política para sobreuso: por fín, la del 9 era un horror. ahora puedes permitir el subreuso de disco y a la vez prohibir el sobre uso de otros recursos ( como se hacía en plesk8 )
  • Se ha integrado Bussiness Manager 10
  • Health monitor como caracteristica experimental
  • Aislamiento de seguridad para fastcgi !!
  • Configuración personalizada para apache
  • Dos tipos de plantillas EZ para virtuozzo con las mayor-version y fixed-version
  • La password de admin por defecto ya no es setup ( han tardado años …. )
  • Ya no es necesario descargar os paquetes de idiomas, vienen integardos
  • Ahora se pueden definir usuarios auxiliares para el mantenimiento del hosting. El tipico escenario en que tienes que tener una cuenta con plena gestion del domino y otra para tu informático o encargado del dominio, con menos privilegios, pero potente a la vez.
  • Se cambian los conceptos de hosting al de suscripción para dar cabida al multidominio.
  • Multiples cuentas ftp ( otra cosa que llevaba años esperando )
  • Storefront: Para instalar aplicaciones webs de pago y gratuitas
  • Sitebuilder 5

Ya no se soportan estas aplicaciones :

  • Miva Merchant
  • gtchat
  • MS Commerce Starter Kit 1.0
  • MS Community Starter Kit 1.0
  • MS DotNetNuke 3.2
  • MS Portal Starter Kit 1.0
  • MS Report Starter Kit 1.0
  • MS TimeTracker Starter Kit 1.0
  • Counter strike
  • Frontapage para linux
  • help desk
  • Master feature
  • Acronis Integration module
  • Battlefield 1942 game servers
  • Battlefield 2 game servers
  • PPWSE (Parallels Plesk Panel Professional Website Editor)

También se ha eliminado del sistema de correo:

  • Autorrepondedor con palabra clave ( keyword )
  • máximo de mails redigiridos
  • máximo de grupos de mail
  • máximo de autorespondedores

Otras carácteristicas eliminadas:

  • Favoritos, recientes y globales, del interafce de usuario se han elminiado y puede que vuelvan a incorporarlos en un futuro.
  • Interface de usuario configurable, también se ha eliminado.
  • Soporte para jet db, eliminando
  • ELIMINADO EL SOPORTE PARA FEDORA
  • ELIMINADO SOPORTE PARA FREEBSD ( hasta primer trimestre de 2011 )

Sólo añadir que se da soporte para cloudlinux y que esperamos probar durante el día de hoy nuestra primera instalación y daros nuestra opinión más a fondo. Aunque como siempre, no actualiceis aún vuestros servidores… que los cambios de versión no suelen traer cosas buenas 😀

La descarga disponible en :
http://autoinstall.plesk.com/PSA_10.0.1/

GÉNESIS: Capítulo 2

Estas dos semanas han sido productivas a tope !

Tuve una entrevista con mi asesor de Emprendedores de la Comunidad de Madrid, estuvimos en MadridOnRails! con una charla sobre ‘emprender en tiempos de crisis’. También asistí/mos a la conferencia sobre virtualización de RedHat y su producto KVM ( el futuro de la virtualización frente a vmware en entornos empresariales ). La charla de redhat fué evangelizadora y el caso de éxito de Viajes Bacerló, además de lo enriquecedor de la propia experiencia, nos devolvió la esperanza a aquellos que pensamos que las empresas pueden funcionar de otra forma. En su empresa valoran positivamente que los administradores trabajen menos por que se pueden dedicar más a i+d : aplauso, aplauso, aplauso.
Aprovechando que tenía oportunidad, estuve presente en la feria de Matelec, dedicada a la iluminación, electricidad y cosas de chispas 😀 . La verdad es que aunque no tenga prácticamente nada que ver con mi sector es interesante observar como se mueven las empresas, qué negocio hay, cuáles son las tendencias, etc…

En la feria de Matelec vi clara dos cosas: una es que la iluminación con leds es la caña y va a romper mercado si no lo está haciendo ya. En pocos meses todos tiraremos nuestras bombillas para poner leds ( aunque sólo sea por no ser menos que el vecino ) y la otra es que se siguen llevando a chicas con faldas cortas a enseñar pierna y tops ajustados. Lo de las chicas no es que me pareciera mal, si no que me parece de los 80-90 y en plena crisis esperaba algo más de innovación y mostrar un cambio de imagen por parte de las empresas. Eso de atraer a clientes con carnaza, pensaba yo que estaba pasado de moda. no por que sea sexista ni nada, si no simplemente por que está pasado, pero parece que no. Esto me lleva a otra idea y es que ni crisis ni ostias, la gente pasa, está intentando aguantar el chaparrón como puede pero nada más. Yo como idealista esperaba estar ante un cambio de imagen por parte de las empresas, un lavado de cara, nuevas ideas transgresoras para diferenciarse de los demás, pero parece que no es así o al menos no en la mayoría de los sectores.

Por otro lado, hoy sí he visto algo nuevo para mí, MadridOnRails lleno de gente asistiendo a charlas y cursos. Quizás mi percepción me engaña, pero parece que sí hay moviento emprendedor en el área tecnológico y que a pequeña escala está pegando, hay movimiento. He visto a gente luchar por su idea de negocio, por algo en lo creen y eso me alegra. Publicidad para la web y productividad con Google Enterprise por biteme.es . Esta última es una de esas charlas a las que nunca hubiera ido y al final me ha gustado y todo, básicamente ha sido ver por encima las utilidades colaborativas de google ( docs, sites, gmail ) … y mailchimp. Además había un curso de Joomla! que estaba casi acabando, así que para otra.

Y todo esto bien revuelto y mezclado con html + css usando wordpress, mis propios themes y plugins, vamos repaso general a todo el temario.