Il 9 dicembre 2021 è stato reso pubblico un exploit zero-day che interessa la popolare utility Apache Log4j (CVE-2021-44228) che si traduce nell’esecuzione di codice remoto (RCE). Questa vulnerabilità viene sfruttata attivamente e chiunque utilizzi Log4j deve eseguire l’aggiornamento alla versione 2.15.0 il prima possibile.

L’accesso a Wowza Streaming Engine 4.8.8.01 e versioni successive utilizza una versione di Apache Log4j2 con una vulnerabilità di sicurezza (CVE-2021-44228) che coinvolge la funzionalità JNDI non protetta da LDAP controllato da un utente malintenzionato e altri endpoint correlati a JNDI.

Se hai Wowza Streaming Engine installato sul tuo sistema, dovresti applicare immediatamente la patch di aggiornamento. Se non hai installato Wowza Streaming Engine, non è richiesta alcuna azione.

Soluzione

È possibile applicare manualmente l’aggiornamento Wowza per correggere la vulnerabilità di sicurezza Apache Log4j2 o eseguire il seguente comando per applicare automaticamente tutti i passaggi.

sh -c "$(curl -sSL https://mirror.mediacp.net/download/hotfix/WSE-log4j2-patch.txt)"

The post Vulnerabilità di sicurezza di Wowza log4j2 appeared first on Media Control Panel.

I dettagli su questo problema possono essere trovati nel seguente post fatto da Let’s Encrypt su questo problema

Il problema non è specifico del software MediaCP e riguarda molti utenti che utilizzano i certificati LetsEncrypt. Molti utenti di cPanel stanno anche riscontrando il problema stanno riscontrando il problema.

Il nostro team tecnico ha fatto ulteriori ricerche e abbiamo scritto questa guida su come risolvere il problema su qualsiasi macchina CentOS o Debian.

Come verificare se sei interessato?

Verificare il problema è semplice, esegui quanto segue sul tuo sistema MediaCP (sostituendo your-domain.com con il tuo nome di dominio effettivo).

curl https://your-domain.com:2020 > /dev/null

Se c’è un problema, vedrai l’errore ” (60) problema con il certificato SSL: il certificato è scaduto” ma non preoccuparti, il tuo certificato non è necessariamente scaduto e la soluzione è semplice.

Soluzione alternativa

CentOS 7+

Per i server che eseguono CentOS 7 o versioni successive, il problema è stato risolto nei recenti aggiornamenti del sistema operativo. Si consiglia di eseguire quanto segue sul sistema come utente root.

yum pulire tutto;
aggiornamento yum -y;
yum -y installa i certificati CA;
yum -y aggiornare i certificati ca;
update-ca-trust;

Server Debian

Per i server Debian, il problema può essere risolto semplicemente eseguendo quanto segue sul proprio sistema come root:

mv /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt.backup;
sudo update-ca-certificates;

The post Scadenza della CA X3 radice dell’ora legale e Let’s Encrypt (settembre 2021) appeared first on Media Control Panel.

Attenzione Richiesta

Se stai ancora utilizzando CentOS 6 attualmente, dovresti passare a CentOS 7 prima di questa data. Nota: CentOS 8 non è attualmente supportato.

Perché CentOS 6 non sarà più supportato?

CentOS 6 raggiungerà ufficialmente la fine del ciclo di vita nel mese di novembre di quest’anno, il che significa che le patch di sicurezza e le correzioni di bug non saranno più fornite da CentOS.

La nostra prossima versione, MediaCP 2.9, introdurrà il supporto per Liquidsoap versione 1.4 che non è compatibile con CentOS 6. Per questo motivo abbiamo deciso di rimuovere il supporto CentOS 6 contemporaneamente al lancio di MediaCP 2.9.

Quando sarà supportato CentOS 8?

CentOS 8 sarà supportato l’11 maggio 2020.

The post CentOS 6 Non più disponibile appeared first on Media Control Panel.