Sebep

cPanel yazılımında (DNSOnly dahil), 11.40 sürümünden sonraki tüm versiyonları etkileyen bir kimlik doğrulama atlatma (authentication bypass) güvenlik açığı tespit edilmiştir.

Çözüm

Aşağıdaki cPanel & WHM sürümleri için bir yama yayınlanmıştır:

• 11.86.0.41 ve üzeri
• 11.110.0.97 ve üzeri
• 11.118.0.63 ve üzeri
• 11.124.0.35 ve üzeri
• 11.126.0.54 ve üzeri
• 11.130.0.19 ve üzeri
• 11.132.0.29 ve üzeri
• 11.134.0.20 ve üzeri
• 11.136.0.5 ve üzeri

Aşağıdaki WP Squared sürümü için de bir yama yayınlanmıştır:

• 136.1.7 ve üzeri

CentOS 6 veya CloudLinux 6 kullanan ve v110.0.50 sürümünde olan müşteriler için ayrıca v110.0.103 sürümü doğrudan güncelleme olarak yayınlanmıştır. Bu sürüme yükseltmek için aşağıdaki komut ile yükseltme katmanını (upgrade tier) ayarlayın ve ardından aşağıdaki “Gerekli Adımlar” bölümündeki adımları izleyin.

# whmapi1 set_tier tier=11.110.0.103

Not: cPanel’in sonraki tüm sürümleri de bu güvenlik açığı için yamalanmıştır. Her bir cPanel dalına ait sürüm bilgileri için lütfen en güncel değişiklik kayıtlarını (changelog) inceleyin: https://docs.cpanel.net/changelogs/

Gerekli Adımlar

1. Sunucunuzu, cPanel güncelleme betiğini (update script) kullanarak yukarıda listelenen sürümlerden birine derhal güncelleyin:

# /scripts/upcp –force

2. Güncelleme tamamlandıktan sonra, döndürülen cPanel sürümünü (build version) doğrulayın ve cPanel servisini (cpsrvd) yeniden başlatın:

# /usr/local/cpanel/cpanel -V
# /scripts/restartsrv_cpsrvd –hard

3. cPanel güncellemelerini devre dışı bıraktıysanız veya cPanel güncelleme yapılandırmanızı belirli bir sürüme sabitlediyseniz, bu sunucular otomatik olarak güncellenmeyecektir. Bu sunucuları tespit edip öncelikli olarak manuel şekilde güncelleyin. Sunucu CentOS 7 veya CloudLinux 7 kullanıyorsa, sürümü 11.110 olarak ayarlamanız gerekmektedir.

# whmapi1 set_tier tier=11.110

cPanel’in Güncelleme Tercihlerini komut satırı üzerinden nasıl özelleştireceğinize dair bilgilere aşağıdaki destek makalesinden ulaşabilirsiniz:

Komut Satırından cPanel Güncelleme Tercihlerini Özelleştirme

4. Yukarıdaki çözümü uygulayamadığınız durumlarda, aşağıdaki önlemlerden birini uygulayın:

• Güvenlik duvarında (firewall) 2083, 2087, 2095 ve 2096 portlarına gelen trafiği engelleyin ve ayrıca Service Subdomains özelliğini devre dışı bırakın.

# whmapi1 set_tweaksetting key=proxysubdomains value=0 && /scripts/proxydomains remove && /scripts/rebuildhttpdconf && /scripts/restartsrv_httpd

• cpsrvd ve cpdavd servislerini durdurun:

# whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd –stop && /scripts/restartsrv_cpdavd –stop

Şu anda, yukarıda listelenmeyen sürümler için de yama sağlamak adına çalışmalar devam etmektedir; özellikle daha fazla sayıda sunucunun kullandığı sürümler önceliklidir. 

Uyarı: Sunucunuz bu güncelleme için uygun (desteklenen) bir cPanel sürümü çalıştırmıyorsa, etkilenmiş olabileceğinden dolayı mümkün olan en kısa sürede güncelleme yapmanız önemle tavsiye edilir.