Beiträge von Twilo

Twilo · 19. März 2025

Code

Die Serverumgebung (SE) 0.459 für die Reihen

    4 - für x86_64, mit MySQL 5.5
    6 - für x86_64, mit MySQL 5.7
    7 - für x86_64, mit MariaDB 10.2
    8 - für x86_64, mit MySQL 8.0
    9 - für x86_64, mit MariaDB 10.5
   10 - für x86_64, mit MariaDB 10.11 (experimentell)
   11 - für x86_64, mit MySQL 8.4 (experimentell)

ist zum Download bereitgestellt. Änderungen ggü. der Version 0.458:

    · apr 1.7.5 (CVE-2023-49582)
    · adminer 4.17.1
    · Core Rule Set version 4.12.0, as coreruleset-current
    · libxml2 2.12.10 (CVE-2025-24928, CVE-2024-56171,
      CVE-2024-40896 [2.12.9], CVE-2024-34459 [2.12.7])
    · Little CMS 2.17
    · Nghttp2 v1.65.0
    · PCRE2 10.45
    · [PHP >= 8.0] xdebug 3.4.2
    · +PHP 8.1.32, -PHP 8.1.30 (CVE-2025-1219, CVE-2025-1736,
      CVE-2025-1861, CVE-2025-1734, CVE-2025-1217)
    · +PHP 8.2.28, -PHP 8.2.26 (CVE-2025-1219, CVE-2025-1736,
      CVE-2025-1861, CVE-2025-1734, CVE-2025-1217)
    · +PHP 8.3.19, -PHP 8.3.16 (CVE-2024-11235, CVE-2025-1219,
      CVE-2025-1736, CVE-2025-1861, CVE-2025-1734, CVE-2025-1217)
    · +PHP 8.4.5, -PHP 8.4.3 (CVE-2024-11235, CVE-2025-1219,
      CVE-2025-1736, CVE-2025-1861, CVE-2025-1734, CVE-2025-1217)
    · [ab 6] zlib 1.3.1 (CVE-2023-45853)


Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------

Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.


Wie wird das Update durchgeführt?
---------------------------------

Wenn Sie bereits SE 0.099 bis 0.458 einsetzen:

1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
    ist.

2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:

    wget https://download.pd-admin.de/seu3-2024043000.tar.gz
    tar xfz seu3-2024043000.tar.gz
    cd seu3
    ./se-update.sh


Prüfsummen:
-----------

    Dateiname     : se-4-0.459.tar.gz
    MD5-Prüfsumme : a51a22dd47140bebc1a6ac9d74b99816
    SHA1-Prüfsumme: b5fa6dc6fe8de8c3205056e57bebd77cca60b419

    Dateiname     : se-6-0.459.tar.gz
    MD5-Prüfsumme : f6e0eca6809ffb90b974d442ccdc84f7
    SHA1-Prüfsumme: 84bfcb71a2e14ea7dfc65cbb29bde8b92c4aeb28

    Dateiname     : se-7-0.459.tar.gz
    MD5-Prüfsumme : 1f4a96bd0dce4989690aef8c1d298d7e
    SHA1-Prüfsumme: 16590d0a889e715c381a0007d8ab8b609b590768

    Dateiname     : se-8-0.459.tar.gz
    MD5-Prüfsumme : 3620b38c9e87038252485676994f4057
    SHA1-Prüfsumme: 9bb991a086d1b746edf0541c335028e88f9562b8

    Dateiname     : se-9-0.459.tar.gz
    MD5-Prüfsumme : fb21cdbb234ae50979c91e45fa1b9b40
    SHA1-Prüfsumme: a86e87696aaad40f9b86877211f09dbe9ba3d89f

    Dateiname     : se-10-0.459.tar.gz
    MD5-Prüfsumme : b3bee2b5447a766ae06dd536bf8382c1
    SHA1-Prüfsumme: 9123ee0eb4103a04f89e45d1c5a3d4b357f93b9a

    Dateiname     : se-11-0.459.tar.gz
    MD5-Prüfsumme : e73d9e4775775ce59ff43730c41c4222
    SHA1-Prüfsumme: a5bae8fc71172149e8606cf30c02b4de61c6a417

--
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 8, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955

Alles anzeigen

Twilo · 17. März 2025

Im Kundenmenü unter Dateimanager ➔ Übersicht ➔ Domain bzw. Subdomain anklicken ➔ awstats, usage bzw. webalizer Verzeichnis anklicken ➔ Button "Schützen" anklicken

Twilo · 17. März 2025

Zitat von pumi

hätte noch jemand eine Idee, wie ich das jetzt am besten umsetze in pdadmin Konform zu sein?

du hast folgende Möglichkeiten:

gehe in der pd-admin Weboberfläche zu allen awstats und webalizer Verzeichnissen, die kein passwortschutz haben, und setze über den den Verzeichnisschutz
schreibe Dir ein Script, welches das automatisch macht, z.B. so, dass bei jeder Subdomain die gleiche .htusers Datei verwendet wird, wie von der Domain.

Zitat von pumi

Wird daran für die Zukunft etwas geändert?

der Bug wurde vor fast 18 Jahren gemeldet; ich habe wenig Hoffnung, so wie bei den ganzen anderen offenen Bugs

Twilo · 14. März 2025

Zitat von pumi

Wie sollten die Verzeichnisse geschüzt werden? mit einer .htaccess?

Ja

Twilo · 14. März 2025

Welche Verzeichnisse nicht geschützt sind, kann wie folgt abgefragt werden, vorausgesetzt, die Domains liegen unterhalb von /home/USER/

Code

find /home/ -mindepth 3 -maxdepth 3 -type d -regextype posix-egrep -regex ".*($(awk -F"'" '/^\$awstats_dir|^\$usage_dir/ {print $2}' /opt/pdadmin/etc/pdadmin.conf |tr '\n' '|')'').*" -print0 |xargs -0I% sh -c "test -s %/.htaccess && grep -qi '^require valid-user' %/.htaccess || echo %"

Twilo · 14. März 2025

OS: Debian GNU/Linux 11 (bullseye)

SE: 8 0.458

pd-admin: v4.129 (64-bit)

Code

root@XXX:~# grep protect /opt/pdadmin/etc/pdadmin.conf
$protect_usage = 1; # ja
#$protect_usage = 0; # nein
$protect_awstats = 1; # ja
#$protect_awstats = 0; # nein

Hallo,

ich habe es eben nochmal getestet. Bei der Anlage einer Subdomain kann zwar ein PW hinterlegt werden, es hat jedoch keine Auswirkung; das Verzeichnis awstats und usage2/webalizer wird nicht angelegt und dort keine .htaccess+.htusers Datei abgelegt. Nach der nächsten Erstellung der Awstats- und Webalizerstatistiken kann auf das Verzeichnis dann ohne jeglichen Passwortschutz zugegriffen werden.

Twilo · 14. März 2025

Hallo,

der Bug wurde erstmalig am 30. Juni 2007 gemeldet; also bitte noch etwas gedulden

Thema

awstats und webalizer nicht geschützt

- Welche Version von pd-admin wird eingesetzt? 3.40
- Welche Version der Standard-Serverumgebung wird eingesetzt? 0.089

wenn man eine Sub-Domain anlegt, werden die Ordner von awstats und webalizer nicht geschützt.
Die Ordner werden nur geschützt, wenn eine neue Domain anlegt.

Grüße
Janine

Janine

30. Juni 2007

Thema

kein Passwortschutz bei awstats und webalizer

Eintrag Bug-Forum: Dies ist eine vorgefertigte Schablone, die bei der Formulierung eines Bugreports unterstützen soll. Bitte die folgenden Angaben möglichst vollständig ausfüllen.

- Welche Version von pd-admin wird eingesetzt? 4.03
- Welche Version der Standard-Serverumgebung wird eingesetzt? 0.100
- Wie sind die problematischen Dienste konfiguriert?
- Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es?

wenn ein Kunde eine Subdomain anlegt, werden die Verzeichnisse awstats und…

Revolution

25. Dezember 2007

Twilo · 6. März 2025

Zitat von kai

Twilo hattest du das Problem gelöst bekommen? Welcher Mechanismus (Config? Script?) wird damit aktiviert?

Aktuell habe ich das Problem mit comdirect.de -> 2001:67c:2440:3100::123

Nein, leider nicht.
Bei allen Servern, auf den ipv6 aktiviert ist, haben wir die Einstellung wie folgt: "Mailserver ohne PTR record -> Emails akzeptieren"
Ansonsten werden fast alle Mails abgelehnt, bei den der versendende Mailserver eine ipv6 Adresse hat.

Twilo · 27. Februar 2025

ja händisch, siehe pd-admin v4.95 und RBL Listen

Twilo · 27. Februar 2025

Ich habe auch erst einmal den Eintrag entfernt; ich bin auch an Empfehlungen interessiert

Twilo · 27. Februar 2025

Wir haben das gleiche Problem auf allen Servern; auch seit gestern ca. 14 Uhr-16 Uhr

EDIT: Es geht auch auf Servern nicht mehr, wo nur wenige Mails eingehen.

Twilo · 18. Februar 2025

Code

Die Serverumgebung (SE) 0.458 für die Reihen

    4 - für x86_64, mit MySQL 5.5
    6 - für x86_64, mit MySQL 5.7
    7 - für x86_64, mit MariaDB 10.2
    8 - für x86_64, mit MySQL 8.0
    9 - für x86_64, mit MariaDB 10.5
   10 - für x86_64, mit MariaDB 10.11 (experimentell)
   11 - für x86_64, mit MySQL 8.4 (experimentell)

ist zum Download bereitgestellt. Änderungen ggü. der Version 0.459:

    · clamav 1.0.8 (LTS)
    · Core Rule Set version 4.11.0, as coreruleset-current
    · curl 8.12.1
    · Apache httpd 2.4.63
    · Apache httpd: mod_lua
    · lua 5.4.7
    · [9] mariadb-10.5.28
    · [10] mariadb-10.11.11
    · [8] mysql-8.0.41
    · [11] mysql-8.4.4
    · +PHP 8.3.17, -PHP 8.3.15
    · +PHP 8.4.4, -PHP 8.4.2
    · OpenSSL 3.0.16 (CVE-2024-13176, CVE-2024-9143)


Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------

Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.


Wie wird das Update durchgeführt?
---------------------------------

Wenn Sie bereits SE 0.099 bis 0.459 einsetzen:

1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
    ist.

2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:

    wget https://download.pd-admin.de/seu3-2024043000.tar.gz
    tar xfz seu3-2024043000.tar.gz
    cd seu3
    ./se-update.sh


Prüfsummen:
-----------

    Dateiname     : se-4-0.458.tar.gz
    MD5-Prüfsumme : 8fbccf29a1464085f277112859c9c732
    SHA1-Prüfsumme: dfdcb79b8a50dab7092e505d2b94a9a8ec1b6352

    Dateiname     : se-6-0.458.tar.gz
    MD5-Prüfsumme : 1b29399740348b103b2bb5f940a1d6f7
    SHA1-Prüfsumme: 798ece6e2d81bf081539311100fb37bf9a41bca2

    Dateiname     : se-7-0.458.tar.gz
    MD5-Prüfsumme : d00b85375496ad8e9281b1d843388e53
    SHA1-Prüfsumme: d88e3e893d58858d3e3e546e9df90c71fa4e19a7

    Dateiname     : se-8-0.458.tar.gz
    MD5-Prüfsumme : 1662476d1c9831ca155e4a9dd3753abc
    SHA1-Prüfsumme: 1b12516697d529c8fcdd63644bdbe6895556872b

    Dateiname     : se-9-0.458.tar.gz
    MD5-Prüfsumme : e8a74dfbd532e86a400007acf56b1dba
    SHA1-Prüfsumme: 0f5e3c02ce58a114078d81b8d922873c754ece03

    Dateiname     : se-10-0.458.tar.gz
    MD5-Prüfsumme : db6867f59ccc1b5353fa8a88e353427f
    SHA1-Prüfsumme: 51dad1bae3c795e33b0a0af938770423a44334f1

    Dateiname     : se-11-0.458.tar.gz
    MD5-Prüfsumme : 0a92c12b49eb4e3c971abb4215b1dd4d
    SHA1-Prüfsumme: 01b6d4a320ada9f49e4103a8cef68649fa5085c9

-- 
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 8, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955

Alles anzeigen

Twilo · 5. Februar 2025

Code

Sehr geehrte Damen und Herren,

wir freuen uns, Ihnen mitteilen zu können, dass pd-admin ab sofort in der
Version 4.129 zum Download bereitsteht.

64-bit-Version: <http://download.pd-admin.de/pdadmin_v4_64.tar.gz>
SHA256-Prüfsumme: 345c361029f68fe8db236b5a06ba3a503844b5185539f375c8b2837030ec23eb

Änderungen:

4.127a wurde versehentlich als 4.128 veroeffentlicht

-  Fehlerkorrektur: Aktiverung des externen Zugangs schlaegti MariaDB
   fehl, wenn der Datenbankbenutzer noch nicht existiert
-  Verbesserung: Bei einer Kundennigration werden jetzt auch die
   MySQL-Unterkonten uebertragen
-  Verbesserung: Nach Verlaengerung der Let's Encrypt Zertifikate wird
   "dehdryated --cleanup-delete" ausgefuehrt
-  Verbesserung: REMOTE_ADDR ins Audit-Log aufgenommen
-  Verbesserung: Speicherplatz-Statistik: Sortierung nach
   Mailbox-Größe eingebaut
-  Verbesserung: Selbstgebaute Sortierung durch Sort-Naturally ersetzt
-  Verbesserung: Spalte mit Status zu Cronjobs hinzugefuegt

Mit freundlichen Grüßen
Daniel Bradler
--
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 8, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955

Alles anzeigen

Twilo · 24. Januar 2025

Wie gesagt, dann müsste man auch ", $, !, etc. verhindern.

Twilo · 24. Januar 2025

Die Frage, was in den "extended security support" fällt, denn der letzte Fix bzw. das letzte Update ist fast 2 Jahre her.

Der normale Support ist seit 5 Jahren beendet …

Twilo · 21. Januar 2025

Die Welt besteht aber nicht nur aus WordPress

Twilo · 21. Januar 2025

Dann darf auch kein " oder $ (oder sonstiges Zeichen, was irgendwo Probleme machen könnte) im Passwort verwendet werden.

Einfach das Zeichen mit einem Backslash davor eintragen, dann sollte es klappen, z.B. pw = 'Test\'Test';

Twilo · 21. Januar 2025

Auch nicht, wenn es escaped wird?

Twilo · 21. Januar 2025

Code

Die Serverumgebung (SE) 0.457 für die Reihen

    4 - für x86_64, mit MySQL 5.5
    6 - für x86_64, mit MySQL 5.7
    7 - für x86_64, mit MariaDB 10.2
    8 - für x86_64, mit MySQL 8.0
    9 - für x86_64, mit MariaDB 10.5
   10 - für x86_64, mit MariaDB 10.11 (experimentell)
   11 - für x86_64, mit MySQL 8.4 (experimentell)

ist zum Download bereitgestellt. Änderungen ggü. der Version 0.456:

    · Core Rule Set version 4.10.0, as coreruleset-current
    · oniguruma Release 6.9.10
    · +PHP 8.3.16, -PHP 8.3.14
    · +PHP 8.4.3, -PHP 8.4.1
    · [7.4 <= PHP <= 8.3] redis-6.0.2 (extension=redis.so)
    · [7.4 <= PHP <= 8.3] redis-6.1.0 (extension=redis-6.1.0.so)
    · [PHP >= 8.4] redis-6.1.0 (extension=redis.so)
    · [PHP >= 8.0, PHP 8.4.1] xdebug 3.4.1
    · Sort-Naturally-1.03


Wann sollte die Serverumgebung geupdatet werden?
------------------------------------------------

Das Update wird wegen der Korrektur von Sicherheitsfehlern empfohlen.


Wie wird das Update durchgeführt?
---------------------------------

Wenn Sie bereits SE 0.099 bis 0.456 einsetzen:

1. Stellen Sie sicher, dass Ihr pd-admin auf dem aktuellen Stand
    ist.

2. Bitte verwenden Sie für alle Reihen das neue Update-Skript:

    wget https://download.pd-admin.de/seu3-2024043000.tar.gz
    tar xfz seu3-2024043000.tar.gz
    cd seu3
    ./se-update.sh


Prüfsummen:
-----------

    Dateiname     : se-4-0.457.tar.gz
    MD5-Prüfsumme : fca9e818f475cf372b8a0af90cdb845c
    SHA1-Prüfsumme: d6946b5c51b8c2eab78b982ed403e67f62b2028b

    Dateiname     : se-6-0.457.tar.gz
    MD5-Prüfsumme : 446bdcb0f17788685eddd76de59a38f1
    SHA1-Prüfsumme: 1e5ffa1643ed366dedce9c8b3566a217f1636486

    Dateiname     : se-7-0.457.tar.gz
    MD5-Prüfsumme : 7e0681a41aa48eedd9615097f640aec0
    SHA1-Prüfsumme: 598c0e46224532e2f71f4e67c00747e9ece90a92

    Dateiname     : se-8-0.457.tar.gz
    MD5-Prüfsumme : 9ef44e794b507f87f702dc44d277046a
    SHA1-Prüfsumme: 396ca3f1dc8be1b1bc6e6bbf9c7031590fc8bffd

    Dateiname     : se-9-0.457.tar.gz
    MD5-Prüfsumme : 59ed58efa051c24414edd7cffab2f722
    SHA1-Prüfsumme: 0d8247b07ee163b0ec18982b7e0b95fbfe909d5a

    Dateiname     : se-10-0.457.tar.gz
    MD5-Prüfsumme : 626d54b2eaa873648f05efb000e0f94f
    SHA1-Prüfsumme: 55cdd3fa3afeca32d906c570bc7240877298aa7e

    Dateiname     : se-11-0.457.tar.gz
    MD5-Prüfsumme : cdc7d69d4e4f54cc725f6dcb16ebaecf
    SHA1-Prüfsumme: b8bed1b08e76b86a56ff58bb789b345fd616a2a9

-- 
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 8, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955

Alles anzeigen

Twilo · 8. Januar 2025

Code

Sehr geehrte Damen und Herren,

wir freuen uns, Ihnen mitteilen zu können, dass pd-admin ab sofort in der
Version 4.127a zum Download bereitsteht.

64-bit-Version: <http://download.pd-admin.de/pdadmin_v4_64.tar.gz>
SHA256-Prüfsumme: 57f1e7b69123935444a115b194eef1d08ae40a1b0dfd5ae6e0fe4681adf729be

Änderungen:

*  Aufgrund eines Build-Problems bei letsencrypt.pl musste Version
   4.87 noch einmal neu gebaut werden.

-  Fehlerkorrektur: Korrektur der Pruefung des Eigentuemers von
   Datenbank-Unteraccounts (moegliche Sicherheitsluecke)
-  Fehlerkorrektur: Feld erlaubte TLDs in der Serverkonfiguration
   wird bei falschen Zeichen abgeschnitten
-  Fehlerkorrektur: Feld erlaubte TLDs in der Serverkonfiguration
   wird abgeschnitten, wenn zu lang
-  Verbesserung: update_host_certificate.sh aktiviert jetzt TLSv1.3
   bei ProFTPD
-  Fehlerkorrektur: Kundenmigration: Datenbankanmeldungen funktionieren
   nicht nach Migration von MySQL 5.7 auf MySQL 8
-  Fehlerkorrektur: Kundenmigration: Datenbankanmeldungen funktionieren
   nicht nach Migration von MySQL 5.7 auf MySQL 5.5
-  Fehlerkorrektur: Kundenmigration: Data truncated for column
   'vhosts.ssl_enabled'
-  Fehlerkorrektur: Kundenmigration: Kundenmigration: Shelleinstellung
   werden nicht übernommen

Mit freundlichen Grüßen
Daniel Bradler
--
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 8, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955

Alles anzeigen

Beiträge von Twilo

Serverumgebung (SE) 0.459

awstats und usage2 ohne Passwort

awstats und usage2 ohne Passwort

awstats und usage2 ohne Passwort

awstats und usage2 ohne Passwort

awstats und usage2 ohne Passwort

awstats und usage2 ohne Passwort

IPv6 Adresse -> missing PTR record

zen.spamhaus geht nicht mehr

zen.spamhaus geht nicht mehr

zen.spamhaus geht nicht mehr

Serverumgebung (SE) 0.458

pd-admin v4.129

Automatisches Datenbankpasswort in pd-admin ohne '

Security Release phpMyAdmin 5.2.2

Automatisches Datenbankpasswort in pd-admin ohne '

Automatisches Datenbankpasswort in pd-admin ohne '

Automatisches Datenbankpasswort in pd-admin ohne '

Serverumgebung (SE) 0.457

pd-admin v4.127a