Die Serverumgebung (SE) 0.495 für die Reihen
4 - für x86_64, mit MySQL 5.5 (veraltet)
6 - für x86_64, mit MySQL 5.7 (veraltet)
7 - für x86_64, mit MariaDB 10.2 (veraltet)
8 - für x86_64, mit MySQL 8.0
9 - für x86_64, mit MariaDB 10.5 (veraltet)
10 - für x86_64, mit MariaDB 10.11
11 - für x86_64, mit MySQL 8.4
ist zum Download bereitgestellt. Änderungen ggü. der Version 0.494:
· ImageMagick-6.9.13-50
· ImageMagick-7.1.2-25
· OpenSSL 3.5.7 (CVE-2026-45447, CVE-2026-34182, CVE-2026-34183,
CVE-2026-42764, CVE-2026-45445, CVE-2026-7383, CVE-2026-9076,
CVE-2026-34180, CVE-2026-34181, CVE-2026-42766, CVE-2026-42767,
CVE-2026-42768, CVE-2026-42769, CVE-2026-42770, CVE-2026-45446)
· DBI-1.648
Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------
Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.
Wie wird das Update durchgeführt?
---------------------------------
Wenn Sie bereits SE 0.099 bis 0.494 einsetzen:
1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
ist.
2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:
wget https://download.pd-admin.de/seu3-2026060900.tar.gz
tar xfz seu3-2026060900.tar.gz
cd seu3
./se-update.sh
Prüfsummen:
-----------
Dateiname : se-4-0.495.tar.gz
MD5-Prüfsumme : c7c21d661a4f2b5e89b0d7be7ba8f86c
SHA1-Prüfsumme: 7b6791a2b53793f0210fa6a8e8608c6cdd7d7e77
Dateiname : se-6-0.495.tar.gz
MD5-Prüfsumme : afce4ee6b276d77433f06610cf667310
SHA1-Prüfsumme: 70259e083a7f101a0b12286fb908467137d22088
Dateiname : se-7-0.495.tar.gz
MD5-Prüfsumme : 56e37b6ab883fad6ca94defa8f5f0d99
SHA1-Prüfsumme: 188169949b8bdbdc8f5ed2645f77c873a07a61e3
Dateiname : se-8-0.495.tar.gz
MD5-Prüfsumme : c86b39db6ea89255f4a7e3663481ff70
SHA1-Prüfsumme: cb0a747e4da23c7021adb07f281c7f969cb8cd76
Dateiname : se-9-0.495.tar.gz
MD5-Prüfsumme : b07ddf28b8c13915b1eff271ae44954d
SHA1-Prüfsumme: b4723d78c806419ec54b1dd95c4d8bc6cc25fa88
Dateiname : se-10-0.495.tar.gz
MD5-Prüfsumme : 11d50d07ac010ba16ac2e6dbfebba448
SHA1-Prüfsumme: 40cb48fbbc07dd6f8bf4075707ed90ee9691c287
Dateiname : se-11-0.495.tar.gz
MD5-Prüfsumme : 7a001edf15a608fdb0c87b35830af9e8
SHA1-Prüfsumme: ffa8f41463029e5e53f999ebebd92674ead147bf
Beiträge von tbc233
-
-
Die Serverumgebung (SE) 0.494 für die Reihen
4 - für x86_64, mit MySQL 5.5 (veraltet)
6 - für x86_64, mit MySQL 5.7 (veraltet)
7 - für x86_64, mit MariaDB 10.2 (veraltet)
8 - für x86_64, mit MySQL 8.0
9 - für x86_64, mit MariaDB 10.5 (veraltet)
10 - für x86_64, mit MariaDB 10.11
11 - für x86_64, mit MySQL 8.4
ist zum Download bereitgestellt. Änderungen ggü. der Version 0.493:
· Apache httpd 2.4.68 (CVE-2026-49975, CVE-2026-48913,
CVE-2026-44631, CVE-2026-44186, CVE-2026-44185, CVE-2026-4411,
CVE-2026-43951, CVE-2026-42536, CVE-2026-42535, CVE-2026-34356,
CVE-2026-34355, CVE-2026-29170, CVE-2026-29167)
· libmaxminddb-1.13.3
· mod_maxminddb-1.3.0
· mod_qos 11.79
· +PHP 8.4.22, -PHP 8.4.20
· +PHP 8.5.7, -PHP 8.5.5 (CVE-2026-44927, CVE-2026-44928)
· SQLite 3.53.2
Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------
Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.
Wie wird das Update durchgeführt?
---------------------------------
Wenn Sie bereits SE 0.099 bis 0.493 einsetzen:
1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
ist.
2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:
wget https://download.pd-admin.de/seu3-2026060100.tar.gz
tar xfz seu3-2026060100.tar.gz
cd seu3
./se-update.sh
Prüfsummen:
-----------
Dateiname : se-4-0.494.tar.gz
MD5-Prüfsumme : e77f9205402bed53b099941035ef252b
SHA1-Prüfsumme: 6014ee105ed0854a131b4749952970be561b3f0f
Dateiname : se-6-0.494.tar.gz
MD5-Prüfsumme : d0898b7f2c817c8ad5b5d7015f26c586
SHA1-Prüfsumme: bb760b9266339b2a01eec9cb4f5904aa2ed5a555
Dateiname : se-7-0.494.tar.gz
MD5-Prüfsumme : c942ba50301cb51ed161e623d8e9c2de
SHA1-Prüfsumme: 86aa9a1eee587cc51bcbdb6318a6c02bf69e72dc
Dateiname : se-8-0.494.tar.gz
MD5-Prüfsumme : de641af38031cb8c749b6d9930f65086
SHA1-Prüfsumme: 1b1402879e0f3b5b0882eaa1781b0f9ff0e2de0a
Dateiname : se-9-0.494.tar.gz
MD5-Prüfsumme : 9f84da11fd9bf17adf2771503b9cb248
SHA1-Prüfsumme: 6e200b11e95eb1aade1d7f3401b442a3bc8aac0b
Dateiname : se-10-0.494.tar.gz
MD5-Prüfsumme : 3ebc4cb52baecd36b6272daa6d76ab38
SHA1-Prüfsumme: 592c8581dcf86bbdb8c57078052f29cc553a9c00
Dateiname : se-11-0.494.tar.gz
MD5-Prüfsumme : 0c392b3d42fcb2803ebad7fb47dd53c0
SHA1-Prüfsumme: 303f909ca8a9f11ebb9d73bcfe9fa4408c7fad20 -
Die Serverumgebung (SE) 0.493 für die Reihen
4 - für x86_64, mit MySQL 5.5 (veraltet)
6 - für x86_64, mit MySQL 5.7 (veraltet)
7 - für x86_64, mit MariaDB 10.2 (veraltet)
8 - für x86_64, mit MySQL 8.0
9 - für x86_64, mit MariaDB 10.5 (veraltet)
10 - für x86_64, mit MariaDB 10.11
11 - für x86_64, mit MySQL 8.4
ist zum Download bereitgestellt. Änderungen ggü. der Version 0.492:
· Apache httpd 2.4.67 patch CVE-2026-49975
oss-security - HTTP/2 Bomb affects Apache httpd, nginx, envoy, & pingora
· Core Rule Set version 4.27.0, as coreruleset-current
· FreeType 2.10.4
· +ImageMagick-7.1.2-24 (im Verzeichnis /u/l/p/ImageMagick-7)
· [PHP ab 5.3] PECL imagick 3.4.4/ImageMagick 7 als imagick-IM7.so
· [PHP ab 7.0] PECL imagick 3.8.1/ImageMagick 7 als imagick-IM7.so
· [10] mariadb-10.11.18
· proftpd 1.3.9b (CVE-2026-42167, CVE-2026-44331)
· qmail-smtpd: Tarpit "550 sorry, user unknown"
Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------
Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.
Wie wird das Update durchgeführt?
---------------------------------
Wenn Sie bereits SE 0.099 bis 0.492 einsetzen:
1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
ist.
2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:
wget https://download.pd-admin.de/seu3
tar xfz seu3
cd seu3
./se-update.sh
Prüfsummen:
-----------
Dateiname : se-4-0.493.tar.gz
MD5-Prüfsumme : 00f47b8cfe03882037a33b2e7f0b7df7
SHA1-Prüfsumme: 134015818988974d3a93bacf7a68d13acf2120d7
Dateiname : se-6-0.493.tar.gz
MD5-Prüfsumme : 277309719720b605b509b9bc13a287ad
SHA1-Prüfsumme: bb95fa75f5936650bc6213bf4e133a7efcf846c2
Dateiname : se-7-0.493.tar.gz
MD5-Prüfsumme : 341ccba49bdbefa6459a3d08cd676c88
SHA1-Prüfsumme: 766976e2445f151f6491e4bb79eba9d84f5f367b
Dateiname : se-8-0.493.tar.gz
MD5-Prüfsumme : 22f6b74c730e2f669f93f820afce4090
SHA1-Prüfsumme: 173ec220f5b721e229c261129004d4cf752490c6
Dateiname : se-9-0.493.tar.gz
MD5-Prüfsumme : c6c3a8f1ef3f797b47efd41af6dc0f90
SHA1-Prüfsumme: 8d703085fc36a71419230a6a7fbdbe68cbcf703f
Dateiname : se-10-0.493.tar.gz
MD5-Prüfsumme : f804db3642078fc64562b5955eab2e3f
SHA1-Prüfsumme: 338c9ef09bc23c13ef070eedde4c6d987465565b
Dateiname : se-11-0.493.tar.gz
MD5-Prüfsumme : 988a4b6f356f813aae20d1e13b780aba
SHA1-Prüfsumme: 3fb2e7651f73b75c5e505ba1fabafa1a7833df8b -
Bei diesem stimmt es noch
Ist von letzter Woche. 4.93 poste ich gleich. -
Da das bisher noch nicht gepostet wurde, bin ich mal so frei das zu übernehmen. Ich hoffe das ist okay.
Die Serverumgebung (SE) 0.492 für die Reihen
4 - für x86_64, mit MySQL 5.5 (veraltet)
6 - für x86_64, mit MySQL 5.7 (veraltet)
7 - für x86_64, mit MariaDB 10.2 (veraltet)
8 - für x86_64, mit MySQL 8.0
9 - für x86_64, mit MariaDB 10.5 (veraltet)
10 - für x86_64, mit MariaDB 10.11
11 - für x86_64, mit MySQL 8.4
ist zum Download bereitgestellt. Änderungen ggü. der Version 0.491:
· memcached-1.6.42 (CVE-2026-47783, CVE-2026-47784)
· Roundcube Webmail 1.6.16 (CVE-2026-48844, CVE-2026-48843,
CVE-2026-48842, CVE-2026-48848, CVE-2026-48849, CVE-2026-48847,
CVE-2026-48846, CVE-2026-48845)
Hinweis zur Entfernung von Squirrelmail
---------------------------------------
Seit der Version 0.490 der Serverumgebung ist Squirrelmail nicht mehr
enthalten. In der Ankündigung fehlt der entsprechende Hinweis leider.
Das Update-Skript entfernt derzeit die Datei
/usr/local/pd-admin2/htdocs/squirrelmail/config/config.php
nicht. Auch werden der Benutzer und die Gruppe "squirrel" nicht
entfernt. Dies wird in einer späteren Fassung des Update-Skripts
nachgeholt.
Falls Sie diese Installationsreste entfernen möchten, führen Sie
bitte als root den Befehl
userdel -r squirrel
aus.
Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------
Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.
Wie wird das Update durchgeführt?
---------------------------------
Wenn Sie bereits SE 0.099 bis 0.491 einsetzen:
1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
ist.
2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:
wget https://download.pd-admin.de/seu3-2026050600.tar.gz
tar xfz seu3-2026050600.tar.gz
cd seu3
./se-update.sh
Prüfsummen:
-----------
Dateiname : se-4-0.492.tar.gz
MD5-Prüfsumme : a94c91560239b69775794acb8f864259
SHA1-Prüfsumme: d0f47ee398d941a7c290afa37f15c84ec5562f32
Dateiname : se-6-0.492.tar.gz
MD5-Prüfsumme : dce04fe449593d20a800453dd9241b18
SHA1-Prüfsumme: 03af0d3f4a18ea9532e12ab5d9c239d364c6d52b
Dateiname : se-7-0.492.tar.gz
MD5-Prüfsumme : 182af6c21575717a48933659a6fd1f84
SHA1-Prüfsumme: 6e968014aea3d24dabb4b82847ccfdb86755da81
Dateiname : se-8-0.492.tar.gz
MD5-Prüfsumme : 7148249998a9348fdfbf32f4fd2481ce
SHA1-Prüfsumme: 0e92f191d688dd7f950b48bd40c700678860471a
Dateiname : se-9-0.492.tar.gz
MD5-Prüfsumme : 257d9cd955ccbf92e18ae23ca6268eec
SHA1-Prüfsumme: 84d7b7afd66696da18da47406098d8fc65455bf6
Dateiname : se-10-0.492.tar.gz
MD5-Prüfsumme : ae0f62b0d4b7b4b0843eefb4f41249ee
SHA1-Prüfsumme: 2c5cd0efa8d3ed78940a9d21c82a773aa384c09e
Dateiname : se-11-0.492.tar.gz
MD5-Prüfsumme : e4ce2963ae235240e1d83bf8ddd956b5
SHA1-Prüfsumme: bbb2405bbad95b58ad30961c64d9b404c738eaf6 -
Leider wurde mal wieder eine HTTP/2 Bombing Variante gefunden mit der man Server lahm legen kann.
New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & CloudflareHTTP/2 Bomb exploits HPACK and flow control; a single client can hold 32GB memory in 20 seconds, causing server outages.thehackernews.comIm Falle von Apache httpd gibt es zumindest das mod_h2 Modul bereits in gefixter Version
Releases · icing/mod_h2HTTP/2 module for Apache httpd. Contribute to icing/mod_h2 development by creating an account on GitHub.github.com -
Eigentlich sollte es funktionieren. Hatte in meiner Karriere auch schon das eine oder andere Mal ein pd-admin Setup hinter einem NAT. Einzig halt, pd-admin erlaubt keine Lizenzierung auf eine private IP. Man bleibt also in jedem Fall im "free" Modus. Aber ansonsten hat es bei mir eigentlich immer funktioniert.
-
Ich persönlich bin froh wenn Squirrelmail raus fliegt und hab mich dafür auch öfter eingesetzt. Wenn ich einen Server mit pd-admin aufsetze, ist es das erste Verzeichnis was ich per .htaccess sperre.
Squirrelmail hat seine besten Zeiten hinter sich, wird meinem Eindruck nach eher nur mehr rudimentär gepflegt und ich möcht gar nicht wissen wieviele Sicherheitslücken es hier gibt. (Der Ironie dass ich das poste, wo Roundcube grad wieder fette Sicherheitslücke hat, bin ich mir bewusst
) -
Roundcube hat wieder ein paar Security Themen gefixt, darunter auch eine Pre-Auth SQL Injection. Ich ersuche um Update.
Roundcube-Webmail-Instanzen mit Schadcode attackierbarIn aktuellen Version haben die Entwickler von Roundcube Webmail mehrere Sicherheitslücken geschlossen.www.heise.de -
An Almalinux 10 hab ich mir mit pd-admin mal die Zähne ausgebissen, weil kein 32bit Support mehr. Fand ich schade, weil ich wollte den längeren LTS Zeitraum mitnehmen gegenüber 9.
Es gibt aber Stimmen dass der 32bit Support wieder kommen könnte anscheinend https://almalinux.org/blog/2026-05-04-announcing-102-beta/ -
Apache HTTP Server: Hochriskante Lücken ermöglichen Einschleusen von SchadcodeIm Apache HTTP Server 2.4.67 stopfen die Entwickler mehrere Sicherheitslücken, die teils das Einschleusen von Schadcode ermöglichen.www.heise.de
-
Leider hat es den httpd nun auch erwischt. Betroffen ist ausschließlich die Version 2.4.66 die in der aktuellen Serverumgebung eingesetzt wird
-
Danke! Die RCE dürfte bei MySQL nicht gegeben sein, aber Auth-Bypass halte ich nach meiner Analyse für eine reale Gefahr.
-
Nach etwas Recherche befürchte ich, dass unser Setup doch anfällig sein kann, denkbar auf jeden Fall für Auth-Bypass. Ich werde bis auf weiteres FTP auf der Firewall schließen.
-
Hier ist eine ganz gute Erklärung, ich würde jetzt mal vorsichtig vermuten dass wir nicht betrofen sind, weil die nötigen Parameter damit das ausnutzbar ist, nicht unserer Konfiguration entsprechen.
GitHub - ZeroPathAI/proftpd-CVE-2026-42167-poc: POCs to demonstrate CVE-2026-42167 in ProFTPDPOCs to demonstrate CVE-2026-42167 in ProFTPD. Contribute to ZeroPathAI/proftpd-CVE-2026-42167-poc development by creating an account on GitHub.github.com -
Ich glaub die ist giftig für uns. Bitte um Beurteilung bzw. Update.
ProFTPD: Codeschmuggel durch mod_sql möglichDer FTP-Server ProFTPD bringt ein Modul mod_sql mit. Es enthält eine SQL-Injection-Schwachstelle, die am Ende zur Ausführung von untergejubeltem Code führt.www.heise.de -
Leider hat es Roundcube mal wieder erwischt.
Webmailer Roundcube: Kritische Lücken erlauben Dateimanipulation und mehrAngreifer hätten beliebige Dateien auf den Webserver schreiben, Skriptcode einschleusen und Inhaltsfilter umgehen können.www.heise.deVielleicht ist hier ein zeitnahes Update möglich. Ich habe Roundcoube mal vorerst über die .htaccess gesperrt.
-
Ich kann hier auf Anhieb keinen Zusammenhang mit pd-admin erkennen, ehrlich gesagt.
-
Meines Wissens basiert DANE ja im wesentlichen auf
- dnssec ist für die Domain aktiv
- Server kann TLS
- Hash des Zertifikats ist als TLSA Record im DNS abgelegt (und wird bei Zertifikatswechsel upgedatet)Für eingehende Mails ist das bedingt ein pd-admin Thema. TLS am Mailserver sollte ja ohnehin aktiv sein, dnssec muss beim Domainregistrar bzw. bei den DNS gemanagt werden und dass der TLSA Record immer up to date ist, kann man sich selbst skripten.
Für ausgehende Mails ist es schon schwieriger, weil hier müsste qmail diese ganze Kette der Maßnehme (dnssec, TLSA Record,...) im Zuge der Mailzustellung überprüfen. Das tut es derzeit meines Wissens nach nicht. Laut Google gibt es hier zwar Implementierungen für qmail, ob diese in der Standardumgebung mit drin sind und wie sie zu aktivieren wären, weiß ich leider nicht.
-
Du musst aus meiner Sicht nur den Letsencrypt Haken beim zugrundeliegenden Angebot weg machen (zb. mittels "Angebot individualisieren"). Dann kümmert sich pd-admin nicht mehr um die Verlängerung und du kannst Deine eigene Magic drum herum skripten.