يزيل الإصدار الجديد من Webmin1.930 الباب الخلفي الذي كان موجودًا لمدة عام على الأقل

الباب الخلفي

قبل بضعة أيام تم إصدار نسخة جديدة من Webmin من أجل التخفيف من الثغرة الأمنية التي تم تحديدها على أنها باب خلفي (CVE-2019-15107) ، الموجود في الإصدارات الرسمية للمشروع ، والذي يتم توزيعه من خلال Sourceforge.

اكتشف الباب الخلفي كان موجودًا في الإصدارات من 1.882 إلى 1.921 شامل (لم يكن هناك رمز مع باب خلفي في مستودع git) وسمح لك بتنفيذ أوامر shell التعسفية على نظام بامتياز الجذر عن بُعد دون مصادقة.

حول Webmin

لمن يجهلون Webmin يجب أن يعرفوا ذلك هذه لوحة تحكم قائمة على الويب للتحكم في أنظمة Linux. يوفر واجهة بديهية وسهلة الاستخدام لإدارة الخادم الخاص بك. يمكن أيضًا تثبيت الإصدارات الحديثة من Webmin وتشغيلها على أنظمة Windows.

باستخدام Webmin ، يمكنك تغيير إعدادات الحزمة الشائعة أثناء التنقل، بما في ذلك خوادم الويب وقواعد البيانات ، بالإضافة إلى إدارة المستخدمين والمجموعات وحزم البرامج.

يسمح Webmin للمستخدم بمشاهدة العمليات الجارية ، بالإضافة إلى تفاصيل حول الحزم المثبتة ، إدارة ملفات سجل النظام ، وتحرير ملفات التكوين لواجهة الشبكة ، وإضافة قواعد جدار الحماية ، وتكوين المنطقة الزمنية وساعة النظام ، وإضافة الطابعات من خلال CUPS ، وقائمة وحدات Perl المثبتة ، وتكوين SSH أو خادم DHCP ، ومدير سجل مجال DNS.

يصل Webmin 1.930 للقضاء على الباب الخلفي

تم إصدار الإصدار الجديد من Webmin الإصدار 1.930 لمعالجة مشكلة عدم حصانة تنفيذ التعليمات البرمجية عن بُعد. تحتوي هذه الثغرة الأمنية على وحدات استغلال متاحة للجمهور ، كما يعرض العديد من أنظمة إدارة UNIX الافتراضية للخطر.

يشير تقرير الأمان إلى أن الإصدار 1.890 (CVE-2019-15231) ضعيف في التكوين الافتراضي ، بينما تتطلب الإصدارات الأخرى المتأثرة تمكين الخيار "تغيير كلمة مرور المستخدم".

حول الضعف

يمكن للمهاجم إرسال طلب http ضار إلى صفحة نموذج طلب إعادة تعيين كلمة المرور لإدخال التعليمات البرمجية والاستيلاء على تطبيق الويب webmin. وفقًا لتقرير الثغرة الأمنية ، لا يحتاج المهاجم إلى اسم مستخدم أو كلمة مرور صالحة لاستغلال هذا الخلل.

وجود هذه الخاصية يعني أن همن المحتمل أن تكون هذه الثغرة الأمنية موجودة في Webmin منذ يوليو 2018.

يتطلب الهجوم وجود منفذ شبكة مفتوح مع Webmin والنشاط في واجهة الويب الخاصة بوظيفة تغيير كلمة مرور قديمة (يتم تمكينها افتراضيًا في إصدارات 1.890 ، ولكنها معطلة في الإصدارات الأخرى).

تم إصلاح المشكلة في التحديث 1.930.

كإجراء مؤقت لقفل الباب الخلفي ، ما عليك سوى إزالة الإعداد "passwd_mode =" من ملف التكوين /etc/webmin/miniserv.conf. تم إعداد نموذج أولي للاستغلال للاختبار.

تم اكتشاف المشكلة في البرنامج النصي password_change.cgi ، حيث يتم استخدام وظيفة unix_crypt للتحقق من كلمة المرور القديمة التي تم إدخالها في نموذج الويب ، والتي ترسل كلمة المرور المستلمة من المستخدم دون الهروب من الأحرف الخاصة.

في مستودع git ، هذه الوظيفة عبارة عن ارتباط في الوحدة النمطية Crypt :: UnixCrypt وهو ليس خطيرًا ، ولكن في ملف sourceforge المزود بالشفرة ، يُطلق على الكود الذي يصل مباشرة إلى / etc / shadow ، ولكنه يفعل ذلك باستخدام بنية الصدفة.

للهجوم ، ما عليك سوى الإشارة إلى الرمز «|» في الحقل باستخدام كلمة المرور القديمة وسيتم تشغيل الكود التالي بامتيازات الجذر على الخادم.

وفقًا لبيان مطوري Webmin ، تم استبدال الشفرة الخبيثة نتيجة اختراق البنية التحتية للمشروع.

لم يتم الإعلان عن التفاصيل بعد ، لذلك من غير الواضح ما إذا كان الاختراق يقتصر على التحكم في حساب في Sourceforge أو ما إذا كان قد أثر على عناصر أخرى من البنية التحتية للتجميع والتطوير في Webmin.

أثرت المشكلة أيضًا على إنشاءات Usermin. يتم حاليًا إعادة بناء جميع ملفات التمهيد من Git.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.