Ende Juli wurde das Security Release des Server-Control-Panels, ISPConfig, veröffentlicht. Dieses behebt eine kritische Sicherheitslücke in ISPConfig und behebt 2 Fehler.

Das Sicherheitsproblem besteht in allen ISPConfig Versionen bis 3.1.14p2. Ein Angreifer der über einen gültigen Zugang als Client, Reseller oder Admin mit aktiviertem Web-Modul besitzt, kann außerhalb seines Web-Root, Verzeichnisrechte ändern.

Ein Update oder Upgrade auf die neuste Version von ISPConfig wird daher dringend empfohlen.

ISPConfig 3.1.14p2 Security Release Notes

• Insufficient escaping of whitespace in FTP user paths#5350Fixed Critical Bug
• CSS Styles do not load in ISPConfig UI when no SSL is used#5341Fixed stable-3.1 Bug
• Dovecot on Debian buster#5340Fixed Bug

Quelle: https://www.ispconfig.org/blog/ispconfig-3-1-14p2-released-important-security-bugfix/