cPanel SEC-73728 und SEC-73755: Sicherheitsupdate eingespielt

cPanel hat mit dem aktuellen Release zwei Sicherheitsfälle behoben, intern geführt als SEC-73728 und SEC-73755. Wir haben die neuen Builds über upcp auf allen rack::SPEED cPanel-Servern eingespielt. Parallel haben wir ein LiteSpeed-Plugin deinstalliert, in dem ein kritischer Fehler bekannt wurde.

Was bekannt ist

cPanel hat die Sicherheitskommunikation umgestellt: Zu den einzelnen Fällen werden nur noch die notwendigen Eckdaten veröffentlicht, keine ausführlichen technischen Details. Der Grund ist nachvollziehbar: jede zusätzliche Information vor dem flächendeckenden Patch-Roll-out vergrößert die Angriffsfläche. Wir halten uns an dieselbe Linie und nennen hier deshalb bewusst nicht mehr, als sinnvoll ist. Die offiziellen Hinweise stehen im cPanel-Security-Bereich.

Beide Fälle sitzen in cPanel/WHM selbst und sind mit den aktuellen Stable- und LTS-Builds geschlossen. Plesk-Server sind nicht betroffen, weil sie eine eigene Codebasis haben.

Das LiteSpeed-Plugin

Zeitgleich wurde in einem cPanel-Plugin für LiteSpeed ein kritischer Fehler entdeckt. Wir haben das betroffene Plugin der Empfehlung folgend deinstalliert. Der LiteSpeed-Webserver selbst ist davon nicht berührt: betroffen war die cPanel-Integration des Plugins, nicht der Webserver-Dienst. Webbetrieb, LiteSpeed-Cache und der App-Hosting-Stack laufen unverändert weiter.

Was du selbst tun solltest

Aktiv tun musst du nichts. Auf einem rack::SPEED Managed-Hosting-Tarif verwalten wir cPanel und die zugehörigen Plugins, du musst dich um den Patch-Stand nicht kümmern. Den Roll-out-Status pflegen wir wie immer auf der rack::SPEED Status-Page.

Bei Rückfragen erreichst du uns über das Kontaktformular oder telefonisch unter +49 (0)2102 305 84 30.

Kurz gehalten, weil zu mehr kein Anlass besteht. Eingespielt ist eingespielt.