Het vorige week onthulde beveiligingsgat in beheerpanel Plesk raakt volgens de maker niet de nieuwste versie 9.5.4 in die eervorige generatie van de hostingsoftware. Dit in tegenstelling tot claims van de ontdekker van dit zogeheten zero-day gat. Hij heeft niet alleen het door hem ontdekte gat onthuld, maar daarbij gelijk ook proof-of-concept exploitcode vrijgegeven.

'Maar 4 procent'

Volgens de officiële reactie van Plesk, ontvangen door techblog Ars Technica, is de meest actuele versie in de 9-reeks veilig voor deze 0-day. Ook versie 9.3 zou niet kwetsbaar zijn. Het geopenbaarde 0-day beveiligingsgat en de vrijgegeven exploitcode daarvoor zijn alleen van toepassing op de nóg oudere versies 8.6, 9.0 en 9.2.

Met ingang van Plesk 9.3 heeft de software een CGI-wrapper die malafide calls naar webserver Apache afweert, stelt vice-president Craig Bartholomew van Parallels in een mail aan Ars. "Je kunt niet op deze manier direct bij Apache komen", verwijst hij naar de methode die hacker Kingcope benut in zijn exploitcode.

De leverancier geeft aan dat dit gat slechts 4 procent van alle Plesk-installaties ter wereld raakt. Verder gebruikt de exploit van Kingcope volgens Bartholomew wel degelijk een allang bekend gat (CVE-2012-1823), maar dan op een iets andere manier. Het gat zou dan formeel geen 0-day zijn.

Ook de eerder door Ars Technica gecontacteerde hacker webDEViL meldt dat het gevaar veel minder groot is:

Nu net geen support meer

De Plesk 9-reeks is in november 2010 opgevolgd door de 10-serie, die in juni 2012 is opgevolgd door de 11-reeks. De extended support voor de eervorige generatie (versie 9) is net afgelopen zondag komen te vervallen. De vorige generatie van Plesk (versie 10) geniet nog extended support tot 3 mei 2015. Leverancier Parallels raadt in zijn lifecycle-beleidsdocument gebruikers aan om alleen versie 11 te gebruiken.