Es ist unfassbar, daß ein großer Softwarehersteller, wie Parallels ohne vorherige Prüfungen, ein Update veröffentlicht, das auf zig tausenden Servern automatisch eingespielt wird und dann zum Teil die, von Plesk so hoch beworbene Sicherheit, einfach zerschießt!
Noch schlimmer ist, daß die Entwickler von Plesk, nach Bekanntwerden des Bugs, sich scheinbar nicht ausreichend drum kümmern, um dieses Problem zu fixen! Wir haben vorgestern einen Bug-Report an Plesk gesendet und diesen Bug auch im 1awww-Wiki beschrieben und auf eine schnelle Beseitigung gehofft!
Plesk hat einen Workarround KB129494 veröffentlicht, der aber „halbherzig“ ist und offensichtlich gerade nur einen Tag hält und dann wieder falsch überschrieben wird! Die krasseste Anweisung in diesem Workarround ist, dabei auch die Fehlermeldungen generell abzuschalten!
Im Plesk-Forum verfolgt, wird von einem Plesk-Kunden-Admin empfohlen, die gesamte Installation des ASL – Bereiches zu löschen und neu zu installieren, da der von Plesk herausgegebene Workarround nicht sicher ist! Allerdings ist auch zu diesem Beitrag im Forum von Plesk keine Aussage gekommen, so daß wir diesen 2. Workarround, der selbst von Plesk nicht stammt, nicht probieren wollen, da wir nicht sicher sein können, wie sich dieser auf die gesamten Server auswirkt!
Auf jeden Fall ist die Sicherheit des beliebten Mod-Security auf den Plesk-Servern momentan nicht zu 100 % gewährleistet, zumal die notwendigen Updates für Mod-Security nicht geladen werden können!
Mod-Security arbeitet mit der Firewall und der Applikations-Firewall zusammen und es scheint zwar, daß Mod-Security noch normal auf den Servern absichert, dennoch erwarten wir, wie auch viele andere Kunden, die Plesk einsetzen, nun schnellstens einen neuen Mircoupdate, der die Probleme sauber abstellt!
Kunden mit eigenen Plesk-Servern erhalten daher stündlich eine Fehlermeldung mit folgendem Inhalt:
/etc/cron.hourly/asl: Error: ASL has not been configured run-parts: /etc/cron.hourly/asl exited with return code 1
Der Bug wird entweder automatisch gefixt oder wenn wir die Information über einen sauberen Workarround erhalten, werden wir alle Plesk-Server, auch Kunden-Server, entsprechend fixen!
Wir möchten noch mal betonen, daß es solche Update-Probleme bei cPanel seit Jahren nicht gegeben hat, allerdings ist cPanel auch keine Alternative für Plesk-Kunden! Beide Hosting-Produkte haben ihre Vor- und Nachteile und nach wie vor, empfehlen wir weiterhin den Einsatz von Plesk, in der Hoffnung, daß Parallels endlich den Support verbessert und daß in Zukunft die Hersteller von Plesk, ihre Updates gründlicher prüfen!
Weitere interessante Artikel:
WICHTIG: neue Joomla-Version 3.6 – bitte Websites mit Joomla updaten
Die Wünsche ( oder sind es Forderungen? ^^ ) wurden erhört:
=> https://kb.plesk.com/en/129494
Hi, das ist wirklich schade, dass den Leuten von Plesk, die ansonsten eine sehr gute Arbeit machen, die Sicherheit ihrer Kunden so wenig wert zu sein scheint. Es gehört sich nicht, sich so zu verhalten.