Από χθες το απόγευμα έχει αρχίσει και γίνεται deploy η νέα έκδοση 11.52 του cPanel η οποία φέρνει αρκετές αλλαγές. Δύο από τις αλλαγές ενδέχεται να σας επηρεάσουν:

1) ΕΙΣΑΓΩΓΗ ΚΑΘΥΣΤΕΡΗΣΗΣ ΣΤΟΝ SMTP SERVER

Πληροφορίες: https://documentation.cpanel.net/display/ALD/11.52+Release+Notes#id-11.52ReleaseNotes-DelaySMTPtransactionforincomingspam

Το cPanel από default πλέον έχει καθυστέρηση έως 30 δευτερόλεπτα από τη στιγμή της επικοινωνίας στον SMTP server έως τη στιγμή της σύνδεσης σε αυτόν. Η εν λόγω καθυστέρηση έχει μπει επίτηδες για αποφυγή spam mail (οι mailserver θα περιμένουν κανονικά να εμφανιστεί το prompt ενώ τα spam script θα κλείσουν τη σύνδεση και θα θεωρήσουν πως δεν υπάρχει mailserver). Η εν λόγω επιλογή δεν προβλέπεται να δημιουργήσει θέμα, απλά αν έχετε monitoring script θα πρέπει να αυξήσετε το timeout στα 45 δευτερόλεπτα. Σε περίπτωση που για οποιονδήποτε λόγο επιθυμείτε να απενεργοποιηθεί η εν λόγω επιλογή, αυτό γίνεται μέσα από το WHM (μόνο σε πελάτες dedicated/cloud).

2) ΑΠΕΝΕΡΓΟΠΟΙΗΣΗ ANTIRELAYD

Πληροφορίες: https://documentation.cpanel.net/display/ALD/11.52+Release+Notes#id-11.52ReleaseNotes-antirelaydrenamedtopopbeforesmtp

Το antirelayd έδινε τη δυνατότητα σε όσους είχαν συνδεθεί στον POP3/IMAP server πριν από ένα χρονικό διάστημα, να μπορούν να αποστείλουν e-mail μέσω SMTP χωρίς να χρειαστεί να κάνουν authenticate. Η εν λόγω επιλογή ήταν security θέμα και πλέον το antirelayd έχει μετονομαστεί σε popobeforesmtp και είναι απενεργοποιημένο εξ' ορισμού. Αν επιθυμείτε να το ενεργοποιήσετε γίνεται μέσα από το WHM (μόνο σε πελάτες dedicated/cloud), αν και άποψη μας είναι πως καλύτερα να ρυθμίσετε πως απαιτείται έλεγχος ταυτότητας με τον διακομιστή.

Όσοι διαχειρίζονται ένα WordPress site θα πρέπει να είναι πολύ προσεκτικοί καθώς αποκαλύφθηκε ένα κενό ασφαλείας που ενδέχεται να τους επηρεάσει. Πρόσφατα ανακαλύφθηκε ευπάθεια στην πλατφόρμα, η οποία εκθέτει ένα WordPress site σε πιθανές επιθέσεις, σύμφωνα με την εταιρεία ασφαλείας Sucuri. Μέχρι στιγμής, είναι γνωστό ότι επηρεάζεται το θέμα TwentyFifteen (εγκατεστημένο ως προεπιλογή) και το plugin JetPack, το οποίο έχει εγκατασταθεί πάνω από ένα εκατομμύριο φορές.

H ευπάθεια XSS (cross-site scripting) είναι ”DOM-based”, κάτι που σημαίνει ότι είναι υπεύθυνη για το πως το κείμενο, οι εικόνες, τα headers και τα links παρατίθενται στον browser. Εάν ένας χάκερ σας ξεγελάσει και κάνετε κλικ σε ένα κακόβουλο link, μπορεί να πάρει τον πλήρη έλεγχο του site σας σε WordPress. Το κακό είναι ότι το εν λόγω bug δεν επηρεάζει μόνο εκείνους που χρησιμοποιούν το TwentyFifteen theme, αλλά όλους τους χρήστες WordPress, καθώς το εν λόγω theme είναι ενσωματωμένο στο WordPress και όποιο plugin ή theme χρησιμοποιεί το πακέτο genericons που έρχεται μαζί, επηρεάζεται από την ευπάθεια.

Ευτυχώς, η λύση είναι πολύ απλή και είναι κάτι που ήδη πήραμε την πρωτοβουλία να κάνουμε σε όλους τους πελάτες shared hosting αλλά και managed server μας: Το Sucuri συνιστά την αφαίρεση του αρχείου "example.html" μέσα από τον κατάλογο genericons απ' όπου εμφανίζεται μέσα στην εγκατάσταση WordPress σας. Εσείς από την μεριά σας, θα πρέπει να προσέξετε μελλοντικές εγκαταστάσεις WordPress plugins και themes που κάνετε, να μην περιέχουν το εν λόγω αρχείο.

Αναβάθμιση PHP σε 5.4

Για λόγους καλύτερης συμβατότητας (σε μεταφορές sites από server σε server), ασφαλείας αλλά και νέων δυνατότητων, στις 15 Οκτωβρίου θα γίνει ολική αναβάθμιση της PHP σε όλους τους servers σε 5.4.

Πως με επηρρεάζει;
Αν χρησιμοποιείτε κάποια έτοιμη εφαρμογή και κάνετε τις αναβαθμίσεις της, η αλλαγή δεν θα σας επηρρεάσει. Σε Joomla, Wordpress, CS-Cart και άλλες γνωστές εφαρμογές, η υποστήριξη της PHP 5.4 έχει ενσωματωθεί εδώ και πάνω από 15 μήνες, οπότε ακόμη και αν δεν κάνετε συχνά ανανεώσεις των εφαρμογών σας αλλά έχετε πραγματοποιήσει κάποια αναβάθμιση τους τελευταίους 12 μήνες, δεν θα υπάρχει κάποιο πρόβλημα στη σελίδα σας.

Τι έκδοση PHP τρέχω αυτή τη στιγμή;
Στην αριστερή στήλη του cPanel μόλις κάνετε είσοδο, στο "PHP Version" μπορείτε να δείτε την έκδοση PHP που τρέχετε αυτή τη στιγμή.

Θέλω να συνεχίσω στην έκδοση PHP που είμαι καθώς δεν βρίσκω τον προγραμματιστή μου!
Καταρχήν να αναφέρουμε πως είναι σημαντικό να γίνει αναβάθμιση της εφαρμογής σας, καθώς πλέον κενά ασφαλείας σε παλαιότερες εκδόσεις PHP δεν καλύπτονται και ενδέχεται να σας δημιουργήσουν σοβαρό πρόβλημα. Αν επιθυμείτε να συνεχίσετε τη φιλοξενία σε παλαιότερη έκδοση PHP θα πρέπει να μας ενημερώσετε μέσω του Helpdesk ώστε να σας μεταφέρουμε σε server ειδικά διαμορφωμένο ο οποίος σας επιτρέπει να χρησιμοποιείτε οποιαδήποτε έκδοση PHP επιθυμείτε (από 5.1 έως 5.6) με τον κίνδυνο ασφαλείας (αν επιλέξετε παλαιότερη έκδοση) να περιορίζεται μόνο στον λογαριασμό σας.

Θα ήθελα να χρησιμοποιήσω PHP 5.5 ή PHP 5.6, τι μπορώ να κάνω;
Μπορείτε να ζητήσετε μεταφορά του πακέτου σας σε server ειδικά διαμορφωμένο ο οποίος σας επιτρέπει να επιλέξετε τις εν λόγω εκδόσεις PHP.

Αφαίρεση FrontPage Extensions

Η Microsoft σταμάτησε την υποστήριξη σε FrontPage Extensions για Linux servers το 2006. Ανακοινώνουμε πως στις 15 Οκτωβρίου σταματάμε επίσημα την υποστήριξη τους σε όλους τους servers μας. Σημειώστε πως αν ακόμη χρησιμοποιείτε FP Extentions τότε η σελίδα σας υπόκειται σε διάφορα κενά ασφαλείας και θα πρέπει άμεσα να σκεφτείτε εναλλακτικό τρόπο επεξεργασιάς της σελίδας σας. Σε περίπτωση που συνεχίσετε να χρησιμοποιείτε FrontPage σημειώστε πως θα μπορείτε να ανεβάσετε τα αρχεία σας μέσω FTP αλλά τυχόν φόρμες επικοινωνίας counters και όλα τα υπόλοιπα scripts θα σταματήσουν να λειτουργούν.

 Όπως πάντα, για οποιαδήποτε απορία μη διστάσετε να επικοινωνήσετε μαζί μας!

Το εν λόγω κενό ασφαλείας αφορά τις εξής εκδόσεις:

2.x.x, 3.0.x, 4.0.x, 4.1.1 και 4.1.2

Έως τώρα το κενό ασφαλείας χρησιμοποιήθηκε μόνο από ένα bot και σε όλα τα sites υπήρχαν συγκεκριμένα αρχεία τα οποία ανέβηκαν στο directory του cs-cart

js/thumbs.php
images/test.gif

Σε περίπτωση που βρείτε τα εν λόγω αρχεία, διαγράψτε τα άμεσα.

Προς το παρόν το fix είναι να σβηστούν τα ελαττωματικά modules πληρωμών, τα οποία ευτυχώς δεν χρησιμοποιούνται στην Ελλάδα.

Να σημειώσουμε πως στα πλαίσια της προσπάθειας παροχής ασφαλών websites, έχουμε ήδη προβεί στη διαγραφή των εν λόγω αρχείων σε όλα τα πακέτα φιλοξενίας των πελατών μας.

Σε περίπτωση που δεν είστε πελάτης μας:

Στο εν λόγω πεδίο δίνετε username "admin" και password "12345" (χωρίς τα εισαγωγικά).