Plesk verrät Zugangspasswort

Durch eine Schwachstelle im Konfigurationstool für Webserver und Webhosting Plesk ist es unter Umständen möglich, an das Systempasswort von Plesk zu gelangen. Dazu ist nur die Suche auf Yahoo oder Google nach phpinfo und einer weiteren Zeichenkette notwendig. In den Treffern findet sich neben Daten der PHP- und Serverkonfiguration auch das Passwort.

Die genaue Ursache des Fehlers ist nicht bekannt, er tritt offenbar nur nach einem Update auf Plesk 8.1 auf, wenn der Server nicht neu gestartet wurde. Eine Suche der heise-Security-Redaktion nach potenziell verwundbaren Systemen ergab daher auch nur eine weniger als hundert Server umfassende Liste. Der Hersteller Swsoft ist über das Problem informiert und hat einen Hotfix zur Verfügung gestellt, der für registrierte Kunden heruntergeladen werden kann. Alternativ lässt sich das Update auch über den Autoupdater installieren. Die Plesk-Entwickler empfehlen, das Admin-Passwort zu ändern. (dab)