Возможно 0day уязвимость в старых версиях ISPPmanager 4

Ну теперь-то точно дадут этой уязвимости статус критической. Еще на прошлой неделе им об этом сообщал.

Ленивые они все же:) Критикалы же должны были до конца года вроде закрывать, а тут уж точно критикал...

ISPmanager 4 уже снят с поддержки и никто ничего апгрейдить не будет.

4.4.10.26 - 03.09.2015

bugfix запрещена локальная авторизация. Если вам все же нужно разрешить локальную авторизацию, то используйте опцию Option AllowLocalAuth из документации

Это оно?

Вообще после кидка всех, кто имеет вечные лицензии 4 ветки , ставит под вопрос целесообразность использования ПО этой компании для оказания услуг. ISPmanager 4 ветки сам по себе продукт неплохой, но ISPsystems так и не сумели довести его до ума, и выпустили типа новую ветку.

это скорее 0year тогда :)

это вообще не уязвимость

"уязвимость" - это хостеры и вебмастера пихающие ПО возможностей которого не знают..

Как узнать сломали ли с помощью этой уязвимости или нет? Тоже залили доры через файл .cli.php. В логах ispmanager не увидел авторизации посторонней через эту багу. Да и в логах FTP нет информации об авторизации.

Права рута получаются благодаря этой уязвимости, поэтому могут подчистить любые логи.

Права рута только в панели Ispmanager или через SSH тоже?

Если установка дефолтная, то и через ссх тоже.