Microsoft hat gestern eine äußerst kritische Sicherheitslücke im Remote Desktop bekannt gegeben, die einem externen Angreifer die Ausführung von Schadcode ermöglicht.
Die Sicherheitslücke betrifft sämtliche Betriebssysteme von Microsoft (alle Windows und Server Versionen) mit RDP.

Es ist ein Sicherheitsupdate verfügbar. Bitte stellen Sie sicher, dass dieses Update schnellstmöglich auf allen von Ihnen betreuten Systemen installiert wird.

Weitere Informationen unter: http://technet.microsoft.com/en-us/security/bulletin/ms12-020

Ihr Support ist grandios aber nun machen Sie doch endlich Feierabend

Da dies einerseits zeitaufwendig ist (besonders dann wenn ein beauftragter Mitarbeiter oder Administrator anruft und die Daten gerade nicht zur Hand hat) und anderseits auch eine gewisse Anfälligkeit gegenüber Social Engineering birgt, wird ab 1. März neben der Kundennummer eine eindeutige PIN zur Identifizierung herangezogen werden.

Alle Kunden haben heute bereits eine E-Mail mit Ihrer persönlichen PIN erhalten.

Zum 1. März wird übrigens auch unsere Telefonanlage entsprechend angepasst. So wird beispielsweise bei Anrufen außerhalb der Geschäftszeiten für den Notfallsupport noch vor der Weiterleitung die Kundennummer und PIN abgefragt, und diese Informationen dem zuständigen Techniker direkt auf das Telefon übermittelt und angezeigt.

Ein pecl install channel://pecl.php.net/cairo-0.3.0 schlägt mit einem compile error fehl.

Hier der diff, um es zum Laufen zu bekommen:

128c128
< object_init_ex(return_value, cairo_ce_cairosubsurface);
---
> /*object_init_ex(return_value, cairo_ce_cairosubsurface);*/
690c690
< #ifdef CAIRO_HAS_PS_SURFACE
---
> #ifdef CAIRO_HAS_RECORDING_SURFACE
711c711,712
< #if CAIRO_VERSION >= CAIRO_VERSION_ENCODE(1, 10, 0)
—
> /*
> #ifdef CAIRO_VERSION >= CAIRO_VERSION_ENCODE(1, 10, 0)
716c717
<
---
> */

Update: Mittlerweile wurde Version 0.3.1 mit entsprechenden Anpassungen für PHP 5.3 veröffentlicht.

Hier der Originaltext:

Plesk – Critical Security Vulnerability – Patch REQUIRED

Dear Parallels Plesk Panel User:

Please read this message in its entirety and take the recommended actions.

Parallels has been informed of a SQL injection security vulnerability in some older versions of Plesk. This vulnerability is considered critical in nature and customers are advised take action quickly.

A patch has been released to resolve this vulnerability. Based on the version and operating system of Plesk you use, please follow the instructions below.

Linux

Plesk 10 – Update to Plesk 10.3.1 MicroUpdate #6 or later.
Update Instructions: here
If possible, it is recommended to update all the way to Plesk 10.4.4 to provide the most stable user experience.

Plesk 9 – Update to Plesk 9.5.4 MicroUpdate #11 or later
Update Instructions: here

Plesk 8 – Update to Plesk 8.6.0 MicroUpdate #2 or later
Update Instructions: here

Windows

Plesk 10 – Update to Plesk 10.3.1 MicroUpdate #6 or later.
Update Instructions: here
If possible, it is recommended to update all the way to Plesk 10.4.4 to provide the most stable user experience.

Plesk 9 – Apply Fix from Parallels Knowledge Base
Update Instructions: here

Plesk 8 – Apply Fix from Parallels Knowledge Base
Update Instructions: here

If you are already at or above the Version and MicroUpdate levels indicated above – you are already protected from this vulnerability.

Parallels takes the security of our customers very seriously and urges you to act quickly by applying these patches.

Thanks,

- The Parallels Plesk Panel Team

Die notwendigen Microupdates lassen sich am einfachsten mit folgendem Befehl in der Commandline installieren:

# /opt/psa/admin/sbin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base

Unsere Managed Server sind nicht betroffen (gewesen), da wir seit Dezember überall Version 10.3.1 MU >=16 als bevorzugtes Release einsetzen.

Dass Plesk 10.4.4 stabiler sein soll als 10.3.1 können wir unterdessen nicht bestätigen.