Před pár dny byla vydána nová verze Webminu za účelem zmírnění zranitelnosti identifikované jako zadní vrátka (CVE-2019-15107), nalezený v oficiálních verzích projektu, který je distribuován prostřednictvím Sourceforge.
Objevená zadní vrátka byl přítomen ve verzích od roku 1.882 do roku 1.921 včetně (v úložišti git nebyl žádný kód se zadními vrátky) a bylo vám umožněno provádět libovolné příkazy shellu v systému s oprávněním root vzdáleně bez ověření.
O společnosti Webmin
Pro ty, kteří nevědí o Webminu měli by to vědět Toto je webový ovládací panel pro ovládání systémů Linux. Poskytuje intuitivní a snadno použitelné rozhraní pro správu serveru. Poslední verze Webminu lze také nainstalovat a spustit v systémech Windows.
S Webminem můžete měnit běžná nastavení balíčku za běhu, včetně webových serverů a databází, jakož i správy uživatelů, skupin a softwarových balíčků.
Webmin umožňuje uživateli zobrazit běžící procesy i podrobnosti o nainstalovaných balíčcích, spravovat soubory systémových protokolů, upravovat konfigurační soubory síťového rozhraní, přidávat pravidla brány firewall, konfigurovat časové pásmo a systémové hodiny, přidávat tiskárny prostřednictvím CUPS, vypisovat nainstalované moduly Perlu, konfigurovat SSH nebo server DHCP a správce záznamů domény DNS.
Webmin 1.930 dorazí, aby eliminoval zadní vrátka
Byla vydána nová verze produktu Webmin verze 1.930, která řeší chybu zabezpečení při vzdáleném spuštění kódu. Tuto chybu zabezpečení mají veřejně dostupné moduly zneužití, jak ohrožuje mnoho virtuálních systémů pro správu UNIX.
Bezpečnostní upozornění naznačuje, že verze 1.890 (CVE-2019-15231) je ve výchozí konfiguraci zranitelná, zatímco ostatní ovlivněné verze vyžadují povolení možnosti „změnit uživatelské heslo“.
O zranitelnosti
Útočník může odeslat škodlivý požadavek HTTP na stránku formuláře žádosti o resetování hesla k vložení kódu a převzetí webové aplikace webmin. Podle zprávy o zranitelnosti útočník nepotřebuje k zneužití této chyby platné uživatelské jméno nebo heslo.
Existence této charakteristiky znamená, že eTato chyba zabezpečení je ve Webminu potenciálně přítomna od července 2018.
Útok vyžaduje přítomnost otevřeného síťového portu s Webminem a aktivita ve webovém rozhraní funkce pro změnu zastaralého hesla (ve výchozím nastavení je povolena v sestavách z roku 1.890, ale v jiných verzích je zakázána).
Problém byl opraven v aktualizaci 1.930.
Problém byl objeven ve skriptu password_change.cgi, ve kterém se funkce unix_crypt používá k ověření starého hesla zadaného ve webovém formuláři, který odesílá heslo přijaté od uživatele, aniž by unikly speciální znaky.
V úložišti git, tato funkce je odkazem na modul Crypt :: UnixCrypt a není to nebezpečné, ale v souboru sourceforge poskytnutém s kódem se nazývá kód, který přímo přistupuje k souboru / etc / shadow, ale dělá to pomocí konstrukce shellu.
K útoku stačí označit symbol «|» v poli se starým heslem a následující kód bude spuštěn s oprávněními uživatele root na serveru.
Podle prohlášení vývojářů Webmin, škodlivý kód nahrazoval výsledek kompromisu infrastruktury projektu.
Podrobnosti ještě nebyly oznámeny, takže není jasné, zda se hack omezil na převzetí kontroly nad účtem ve Sourceforge, nebo zda ovlivnil další prvky Webminovy montážní a vývojové infrastruktury.
Problém také ovlivnil Usermin staví. V současné době jsou všechny spouštěcí soubory znovu vytvořeny z Gitu.