Category: Administración


Ayer se publicó un exploit para la vulnerabilidad etiquetada cómo CVE-2017-5638 de Apache Struts2. Bastante crítica ya que, gracias a este exploit, podemos pasar a ejecutar comandos en la máquina donde resida la aplicación, sin importar lo que haya en medio. Así que hay que intentar parchearlo lo antes posible. Las acciones a tomar serían actualizar las librerias de Struts  y si disponemos de algún WAF, IDS o algun sistema de protección en medio, poner las firmas necesarias que paren el ataque.

En caso de no disponer de ninguna de estas y no poder actualizar las librerias de forma rápida, existe una solución rápida que podemos utilizar hasta que implantemos la definitiva.

Para ello, si tenemos una arquitectura en la que haya un apache delante del servidor de aplicaciones, podemos poner en este un filtrado que modifique la cabecera de las peticiones (donde reside el payload del exploit) y sustituya partes fundamentales de este código maligno.  Para ello, con el uso del mod_header y la siguiente línea:


RequestHeader edit Content-Type "ognl" "text/html;charset=UTF-8"

podemos parar inmediatamente el ataque sin afectar a peticiones legitimas.

Fuente: http://www.hackplayers.com/2017/03/exploit-rce-para-apache-struts-cve-2017-5638.html

Una de esas cosas que pasan de vez en cuando, al hacer una migración de un Plesk a otro nos pasó una cosa un poco rara. Normalmente tenemos en nuestro servidor  el webmail configurado para entrar con webmail.midominio.com.  Pero después de hacer la migración, un domino dejó de funcionar de esta forma. Así que en vez de acceder al webmail, nos mostraba la página por defecto de Plesk. Ni siquiera la página que corresponde al dominio.

Un error un poco raro, porque no esque haya dejado de funcionar Horde, ya que con el resto de los dominios que hay en el servidor configurados funcionaba perfectamente, sólo fallaba en uno.  No podía ser nada de DNS, ya que la redirección la hacía bien, así que tenía que ser algo de configuración de Plesk o de Apache. Tras buscar un buen rato una solución por la red, encontré este enlace http://benohead.com/horde-webmail-showing-the-default-plesk-page/ que me dio la solución al problema.

El apache que monta Plesk,  mantiene una configuración de Virtualhost para cada uno de los dominios que apunta hacia el Horde. Para ello, carga todos los ficheros de configuración de /etc/apache2/plesk.conf.d/webmails/horde . Si echamos un ojo al directorio, todos los ficheros siguen el mismo patrón, midominio.es_webmail.conf, y el dominio que estba dando fallo no tenía su fichero de configuración correspondiente. De forma que copiando uno de los archivos, poniéndolo el nombre y luego editando su interior, se soluciona el problema.


#ATTENTION!

#

#DO NOT MODIFY THIS FILE BECAUSE IT WAS GENERATED AUTOMATICALLY,

#SO ALL YOUR CHANGES WILL BE LOST THE NEXT TIME THE FILE IS GENERATED.

ServerAlias "webmail.midomino.com"

Simplemente cambiando el ServerAlias y reiniciando Apache, se soluciona