Veraltete Versionen im Anwendungs-Installer von Plesk Onyx und automatische Updates

  • Hallo zusammen,


    ich finde die Funktion, seine Webanwendungen automatisiert upzudaten sehr interessant. Ich weiß, dass man damit vorsichtig sein sollte und es natürlich zu Problemen kommen kann. Aber für kleine "Nebenher-Projekte" würde ich das schon gerne machen.


    Hat das hier überhaupt mal jemand erfolgreich ausprobiert? Denn ich habe das zwar auch gemacht, aber Plesk Onyx kann ja gar nicht automatisch updaten, wenn gar keine neuen Versionen herausgebracht werden. Bei einem Marktbegleiter von netcup kann ich einen Softacoulus-Installer nutzen. Dort werden die Anwendungen geupdatet.


    Im alten netcup Webhostingcontrolpanel.de habe ich eine dokuwiki-Installation gemacht, in der ich mir Notizen zu VServer-Konfigurationen mache. Dort habe ich auch "Automatische Updates" aktiviert. Aber seitdem hat sich bei Plesk nichts getan. Die installierte Version von damals (dokuwiki 20140929) ist auch im neuen Plesk Onyx die aktuelle dokuwiki-Version.


    Wie sieht das mit der Sicherheit aus? Es gibt auf jeden Fall schon bekannte Lücken in den alten Versionen, die aktuell noch von Plesk Onyx zur Installation angeboten werden. Was soll das überhaupt mit den automatischen Updates, wenn keine neuen Versionen nachgeladen werden?


    Gruß,


    Malte

  • Guten Tag,



    wenn Software mit Sicherheitslücken über den Updateter von Onyx verbreitet wird, bitten wir um eine Meldung an unseren Support. In diesem Fall läuft hier etwas schief.


    Die Apps werden entweder von Plesk selbst oder von dem Hersteller der Software bereitgestellt. Mit diesen werden wir dann Kontakt aufnehmen.


    Vielen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • Ich hatte mir Concrete5 und Tiki-Wiki genauer angeschaut.


    Tiki-Wiki wird von Plesk in der Version 10.2 angeboten. Ein kurzer Blick auf die Release-Seite von Tiki zeigt diese Version gar nicht mehr an:


    https://tiki.org/Versions


    Das heißt 10.2 ist längst EOL. Inzwischen sind zahlreiche Versionen mit Sicherheitspatches erschienen. Wie gravierend die reparierten Lücken sind, kann ich nicht sagen. Dafür kenne ich das Projekt nicht. Dafür müsste dann Plesk verantwortlich sein. Vielleicht ist auch keine gravierend genug, dass ein Angriff von außen möglich ist. Das halte ich allerdings bei einem so großen Projekt für unwahrscheinlich.


    Hier ist ein Blick in die Geschichte von Tiki:


    https://tiki.org/All-Releases


    10.2 ist demnach von März 2013, also über 4,5 Jahre alt.


    Die andere Anwendung, die ich mir angeschaut hatte ist concrete5. Von Plesk wird 7.3.1 angeboten. Hier ist eine Übersicht der Releases von concrete5:


    https://documentation.concrete…ackground/version-history


    Die aktuelle Version ist 8.2.1.


    7.3.1 kam im Januar 2015:


    https://www.concrete5.org/abou…te5-5-7-3-1-now-available


    Alles in allem finde ich das wenig vertrauenserweckend. Überall, wo ich kurz reingeschaut habe, hinken die angebotenen Versionen dem Upstream weit hinterher. Das hier sind nur zwei Projekte, die ich mir genauer angeschaut habe. Bei Tiki-Wiki hätte ich z.B. die eingebaute Tabellenkalkulation genutzt. Aber so habe ich dann doch lieber EtherCalc über node.js installiert.

  • Im Plesk with Coppermine Version 1.5.42 angeboten.


    Auf der Webseite von Coppermine ( http://coppermine-gallery.net/ ) steht das hier:



    cpg1.5.46 Security release - upgrade mandatory!


    + 15 February 2017

    The Coppermine development team is releasing a security update for Coppermine in order to counter recently discovered vulnerabilities. It is important that all users who run version cpg1.5.44 or older update to this latest version as soon as possible.