# ISPConfig 3.0.5.4 Patch 6 released (Important security update)



## Till (7. Mai 2015)

*What's new in ISPConfig 3.0.5.4p6*

This release contains 2 important security fixes, solves a problem
in the APS installer and adds support for Debian 8 and Ubuntu 15.04.

It is highly recommended to install this patch release immediately!

The "Reconfigure services" option can be answered with "no" on servers
that run ISPConfig 3.0.5.4p5.

See changelog link below for a list of all changes that are included in this release.

*Download*

The software can be downloaded here:

http://prdownloads.sourceforge.net/ispconfig/ISPConfig-3.0.5.4p6.tar.gz

*Changelog*

http://bugtracker.ispconfig.org/index.php?do=index&tasks=&project=3&due=84&status[]=

*Known Issues:*

Please take a look at the bugtracker:

http://bugtracker.ispconfig.org

*BUG Reporting*

Please report bugs to the ISPConfig bugtracking system:

http://bugtracker.ispconfig.org

*Supported Linux Distributions*

- Debian Etch (4.0) - Wheezy (7.0) and Debian testing
- Ubuntu 7.10 - 15.04
- OpenSuSE 11 - 13.2
- CentOS 5.2 - 8
- Fedora 9 - 15

*Installation*

The installation instructions for ISPConfig can be found here:

http://www.ispconfig.org/ispconfig-3/documentation/

or in the text files (named INSTALL_*.txt) which are inside the docs folder of the .tar.gz file.

*Update*

To update existing ISPConfig 3 installations, run this command on the shell:

ispconfig_update.sh

Select "stable" as the update resource. The script will check if an updated version of ISPConfig 3 is available and then download the tar.gz and start the setup script.

Detailed instructions for making a backup before you update can be found here:

http://www.faqforge.com/linux/controlpanels/ispconfig3/how-to-update-ispconfig-3/

If the ISPConfig version on your server does not have this script yet, follow the manual update instructions below.

*Manual update instructions*


```
cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xvfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install
php -q update.php
```


----------



## gammlo (8. Mai 2015)

Hi,

ich habe gerade einfach die ispconfig_update.sh ausgeführt. Das Update wurde auch erfolgreich eingespielt. Ich hatte nur ein kleines Problem, und zwar wurde diese Config Datei /usr/local/ispconfig/interface/lib/config.inc.php neu geschrieben. Ist das normal? Habe jetzt wieder die Werte soweit angepasst.


----------



## Till (8. Mai 2015)

Ja, das ist normal.


----------



## dArk4psyco (8. Mai 2015)

Kurze Frage zu dem Update.
Ich habe noch den Mailbackup und dkim Patch von Florian laufen. Sind die beiden patches nach dem update noch vorhanden oder muss ich die neu aufspielen?

Und wenn ich sie aufspielen muss ist der dkim key noch vorhanden?


----------



## Till (8. Mai 2015)

Die Patches musst Du sicherlich erneut anwenden, denn der Code wird ja überschrieben.



Zitat von dArk4psyco:


> Und wenn ich sie aufspielen muss ist der dkim key noch vorhanden?


Kann ich Dir nicht sagen, müsstest Du Florian fragen.


----------



## dArk4psyco (8. Mai 2015)

hmm okay danke.
dann mache ich vorher besser doch mal nen snapshot.


----------



## florian030 (8. Mai 2015)

Weder gehen die Keys verloren noch wird die entsprechende Config in Amavis geändert. Zumindest solange Du nicht eine einzelne Config für Amavis hast. Die Angaben zu den Keys stehen in 60-dkim, die Keys an sich liegen in /var/lib/amavis/dkim.
Du musst den Patch nach einem Update momentang nicht neu installieren, da der installer nicht zur neuen Version von ISPConfig passt. Ich muss mir noch im Detail ansehen, welche Änderungen es überhaupt gibt. Wenn mich nicht allles täuscht, dann sind das im wesentlichen aber nur Rechte einzelner Files.

Du kannst den devel-branch aus meinem git nehmen. Der sollte mit p6 laufen. 

```
git clone https://git.schaal-24.de/ispconfig/dkim.git
cd dkim
git checkout devel
php -q install.php
```


----------



## shadowcast (9. Mai 2015)

Morgen,
das Script hängt unmittelbar nachdem ich die Update Methode auswähle.
ispconfig.org ist auch seit einiger Zeit offline?
LG


----------



## Till (9. Mai 2015)

Der server von ispconfig.org bleibt ab und zu stehen, ich muss den mal vom provider tauschen lassen. Liegt an der hardware.

Zu deinem update problem, poste mal die ausgabe von:

which php


----------



## shadowcast (9. Mai 2015)

Hi,

seitdem ispconfig.org wieder geht, klappt auch das Update wieder.
Die Meldung war, dass er irgendeine Version nicht holen konnte?
Aktuell läuft alles.

Die beiden Patches von p5
Patch ID: *3054_capp* und
Patch ID: *3054_aps*
müssen aber nicht erneut gemacht werden oder?

LG


----------



## Till (9. Mai 2015)

Zitat von shadowcast:


> Die Meldung war, dass er irgendeine Version nicht holen konnte?


Ok, das ist was anderes. Denn der typische Fehler wenn das update stehen bleibt ist dass eine php version in /usr/local/bin/php liegt die kein mysql kann. Wenn ispconfig.org nicht läuft kann er nicht die aktuell verfügbare version bestimmen und downloaden könnte er sie natürlich auch nicht.



Zitat von shadowcast:


> Die beiden Patches von p5
> Patch ID: *3054_capp* und
> Patch ID: *3054_aps*
> müssen aber nicht erneut gemacht werden oder?


Das ist beides in p6 mit drin.


----------



## shadowcast (9. Mai 2015)

Perfekt. Vielen Dank.

Hier das aktualisierte ISPConfig Clean-Theme:
https://webdesign-facts.de/linux/server/54-ipsconfig-update-auf-3-0-5-4p6-clean-theme


----------



## schuetzm (11. Mai 2015)

Dieser Task wurde laut ChangeLog erledigt: bugtracker.ispconfig.org/index.php?do=details&task_id=3857 (Users unable to write in home directory) (grrr, das Forum lässt mich keinen Link posten)
Leider finde ich keine Informationen, was sich dadurch geändert hat. Der Bugersteller scheint vorgeschlagen zu haben, das angelegte "private" Verzeichnis als $HOME zu verwenden. Ist das so implementiert worden? Wenn ja, habe ich große Bedenken, dieses Update zu installieren, weil dann etliche meiner Webseiten und Skripte nicht mehr funktionieren werden.
Ich finde, so eine Änderung sollte auf keinen Fall ohne Vorankündigung in einem Sicherheitsupdate versteckt werden. Kann sich vielleicht einer der Entwickler dazu äußern?


----------



## Till (11. Mai 2015)

Zitat von schuetzm:


> (grrr, das Forum lässt mich keinen Link posten)


Wenn Du hier etwas regelmäßiger postest, dann kannst Du auch Links posten.



Zitat von schuetzm:


> Leider finde ich keine Informationen, was sich dadurch geändert hat. Der Bugersteller scheint vorgeschlagen zu haben, das angelegte "private" Verzeichnis als $HOME zu verwenden. Ist das so implementiert worden? Wenn ja, habe ich große Bedenken, dieses Update zu installieren, weil dann etliche meiner Webseiten und Skripte nicht mehr funktionieren werden.


Für shell User ohne jail wird jetzt das selbe Verzeichnis wie bei jailed users verwendet, also /home/username innerhalb der Webseite.



Zitat von schuetzm:


> Ich finde, so eine Änderung sollte auf keinen Fall ohne Vorankündigung in einem Sicherheitsupdate versteckt werden. Kann sich vielleicht einer der Entwickler dazu äußern?


In den Release notes findest Du den Link zum changelog, da ist also nichts versteckt. Und Wenn Du wissen möchtest welche Codezeile für ein Release verändert wurden, dann schau auf den git server: http://git.ispconfig.org


----------



## schuetzm (12. Mai 2015)

Das Changelog besteht nur aus einer Liste von Tasks im Bugtracker. Wenn dort steht, dass "Users unable to write in home directory" gefixt wurde, gehe ich erstmal davon aus, dass die Benutzer jetzt dorthin schreiben können, und nicht, dass das Homeverzeichnis auf einmal woanders liegt. Letzteres ist dann auch weder im Changelog, noch im Bugreport erwähnt.

Mir ist jetzt immer noch nicht klar, ob das nur neu erstellte Benutzer betrifft, oder ob sich existierende Benutzer auch ändern. Kann man das wenigstens global deaktivieren?


----------



## Till (12. Mai 2015)

Zitat von schuetzm:


> Das Changelog besteht nur aus einer Liste von Tasks im Bugtracker. Wenn dort steht, dass "Users unable to write in home directory" gefixt wurde, gehe ich erstmal davon aus, dass die Benutzer jetzt dorthin schreiben können, und nicht, dass das Homeverzeichnis auf einmal woanders liegt. Letzteres ist dann auch weder im Changelog, noch im Bugreport erwähnt.


Im GIT Server kannst Du zu jeder Änderung anhand der Bug Nummer nachsehen, was genau dort geändert wurde. Also in diesem Fall ist die Bug ID #3857 und der zugehörige Patch ist: http://git.ispconfig.org/ispconfig/ispconfig3/commit/743330f11621b2817c43a1fc73a298b82d8a8867

Ein Update in ISPConfig ändert nie eine bestehende Webseite, einen user oder mailbox Konfiguration, es aktualisiert nur die Software selbst und ggf. die Haupt-Konfigurationsdateien der Dienste. 

Die Änderung betrifft Benutzer die neu erstellt werden und Benutzer die geändert werden. Es geht dabei auch nur um das Homedir von zusätzlichen Shell Usern ohne Jail und nicht um das Homedir wes Basis Nutzers web[ID] einer Webseite. Es sind also weder cronjobs davon betrffen noch irgenwelche php oder perl script in der Webseite.


----------



## schuetzm (12. Mai 2015)

Ok danke, dann bin ich beruhigt  Ich will auch auf gar keinen Fall unfreundlich rüberkommen, im Gegenteil bin ich sehr dankbar für die tolle Arbeit, die ihr leistet! Ich bin nur schon zu oft harmlos aussehende Updates reingefallen, so dass mich sowas immer etwas nervös macht...


----------

