ISPConfig 3.0.5.4 patch 4 veröffentlicht

Till

Administrator
#1
What's new in ISPConfig 3.0.5.4p4

This release introduces support for CentOS 7, adds some interesting new security features
and fixes several bugs in the remote API.

Intrusion Detection System

The ISPConfig interface now contains a IDS System to protect it against unknown threats and
vulnerabilitys. The IDS System consists of a scan engine for POST, GET and COOKIE
variables based on PHPIDS and a SQL query scanner to detect SQL injection attacks.

The IDS system does not replace any of the input and variable checks that are implemented in ISPConfig,
the IDS adds a more generic check for all incoming variables in ISPConfig to build a second defense line.

For now, the IDS system is configured to add warnings in the ISPConfig System log only and not to block attacks.
If you like to block attacks in this version, set ids_block_level to a value between 5 and 20 in the
security_settings.ini file. The checks are quite strict and we will probably have to whitelist some addditional
variables to avoid false positive warnings to customers. Therefore I would like to ask you to help us to complete
the whitelist.

The sql injection scanner is turned on by default while the intrusion detection system is turned off
because the scan of all incoming variables can slow down the ISPconfig interface. You can turn
the IDS on in /usr/local/ispconfig/security/security_settings.ini by changing "ids_enabled" to "yes"
if you like to test this new feature.

How whitelisting in IDS works:

The IDS writes all alerts in whitelst file format to the file /usr/local/ispconfig/interface/temp/ids.log
and the full warning message to the ispconfig system log in the interface. If you find that a alert is
a false positive, then please post the alert message and line from ids.log here in the forum so we can check
that and add it to the official whitelist.

You can find a detailed description on the IDS settings in the security README file in the
/usr/local/ispconfig/security/ folder.


See changelog link below for a list of all changes that are included in this release.

-----------------------------------------------------
- Download
-----------------------------------------------------

The software can be downloaded here:

http://prdownloads.sourceforge.net/ispconfig/ISPConfig-3.0.5.4p4.tar.gz

------------------------------------
- Changelog
------------------------------------

http://bugtracker.ispconfig.org/index.php?do=index&tasks=&project=3&due=82&status[]=

--------------------------------------
- Known Issues:
--------------------------------------

Please take a look at the bugtracker:

http://bugtracker.ispconfig.org

--------------------------------------
- BUG Reporting
--------------------------------------

Please report bugs to the ISPConfig bugtracking system:

http://bugtracker.ispconfig.org

----------------------------------------
- Supported Linux Distributions
----------------------------------------

- Debian Etch (4.0) - Wheezy (7.0) and Debian testing
- Ubuntu 7.10 - 14.04
- OpenSuSE 11 - 13.1
- CentOS 5.2 - 7
- Fedora 9 - 15

-----------------------------------------
- Installation
-----------------------------------------

The installation instructions for ISPConfig can be found here:

http://www.ispconfig.org/ispconfig-3/documentation/

or in the text files (named INSTALL_*.txt) which are inside the docs folder of the .tar.gz file.

------------------------------------------
- Update
------------------------------------------

To update existing ISPConfig 3 installations, run this command on the shell:

ispconfig_update.sh

Select "stable" as the update resource. The script will check if an updated version of ISPConfig 3 is available and then download the tar.gz and start the setup script.

Detailed instructions for making a backup before you update can be found here:

http://www.faqforge.com/linux/controlpanels/ispconfig3/how-to-update-ispconfig-3/

If the ISPConfig version on your server does not have this script yet, follow the manual update instructions below.

-------------------------------------------
- Manual update instructions
-------------------------------------------

Code:
cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xvfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install
php -q update.php
 
Zuletzt bearbeitet:

nowayback

Well-Known Member
#2
hi,

generell finde ich neue Versionen nie verkehrt und auch neue Features nicht, aber wenn die Whitelist noch nicht annähernd vollständig ist - und so versteh ich das - dann würde ich das eher als Beta veröffentlichen. Auf einem Live System würde ich das so zumindest dann auf keinen Fall aufspielen.
 

Till

Administrator
#3
Ich denke Du hast da was falsch verstanden, es handelt sich um ein optionales und daher deaktiviertes Feature der Version. Wenn Du also das Update installierst ist das garnicht an.

Die von Dir angesprochene Betaphase hat die Version schon lange hinter sich, die war vom 26. August bis letzte Woche.

Die Whitelist basiert auf Daten von ein paar Hundert Servern, als vollständig betrachte ich sie wenn die Daten auf mehr als 100.000 Systemen basieren, da man dann davon ausgehen kann dass auch jegliche Foerign Charsets dabei waren. Diese Menge an Installationen erreichen wir normalerweise so 8-10 Wochen nach einem neuen Release.
 

wlbi

New Member
#6
Alles sauber durch gelaufen. Musste zwar zuerst eine Zeit lang suchen, wie ich das aktualisiere, aber habe dann doch was gefunden.
Als Befehl im Terminal folgendes eingeben:
Code:
ispconfig_update.sh
Dann die Fragen beantwortet:
>> Update
Shall the script create a ISPConfig backup in /var/backup/ now? (yes,no) [yes]:
Reconfigure Services? (yes,no) [yes]:
Create new ISPConfig SSL certificate (yes,no) [no]:
Reconfigure Crontab? (yes,no) [yes]:
Update finished.
Und es scheint zu funktionieren ...
Gruss Alex
 

Till

Administrator
#7
Wie, man ispconfig updated steht oben im thread (erster post), in jeder release note, auf der seite dokumentation von ispconfig.de und auch ispconfig.org und es steht in der ispconfig faq auf faqforge. Wo doll ich es denn noch überall hin schreiben ;)
 

Till

Administrator
#9
Du legst einfach das entsprechende template aus install/tpl/ des tar.gz in /usr/local/ispconfig/server/conf-custom/install/ ab.
 
#10
Eine Frage habe ich bevor ich das Update einspiele.
Ich habe ein Multiserver Setup und irgendwo bilde ich mir ein mal gelesen zu haben das man bei der Abfrage "Reconfigure Services?" beim Masterserver idR nein und bei allen Slaveservern aber mit ja antworten soll. Jetzt die große Frage, muss ich das wirklich bei jedem Update auf den Slaveservern machen? Denn das ganze wieder neu zu konfigurieren dauert schon mal ganz schön...
 

Till

Administrator
#11
Wenn Du die config Änderungen deden den poodle Angruff manuell einpflegst, dann kannst Du diesmal auf das reconfigure Services verzichten.
 
#12
Okay...
Eine generelle Frage hätte ich allerdings noch. Sollte man bei einem Update auf dem Master nicht auch ein Reconfig der Services ausführen?
 

Till

Administrator
#13
Das reconfigure services sollte immer dann ausgeführt werden, wenn sich etwas an der Konfiguration der Dienste geändert haben könnte oder neue Features in ISPConfig hinzugekommen sind. Ob es sich um master oder Slave handelt, spielt dabei keine Rolle.
 
#14
Ah... hab das jetzt gerade mit den Permissions der Datenbank verwechselt. Sorry Till... ein Glück das ich bevor ich sowas mache nochmals zusätzlich erst in unser internes Wiki sehe...

Update lief 1a durch. Spitzen Leistung!
 

Werbung