For nogle dage siden en ny version af Webmin blev frigivet for at afbøde en sårbarhed identificeret som en bagdør (CVE-2019-15107), findes i de officielle versioner af projektet, som distribueres gennem Sourceforge.
Den opdagede bagdør var til stede i versioner fra 1.882 til 1.921 inklusive (der var ingen kode med en bagdør i git-arkivet), og du fik lov til at udføre vilkårlige shell-kommandoer på et root-privilegeret system eksternt uden godkendelse.
Om Webmin
For dem der ikke er opmærksomme på Webmin de burde vide det Dette er et webbaseret kontrolpanel til styring af Linux-systemer. Giver en intuitiv og brugervenlig grænseflade til at styre din server. Seneste versioner af Webmin kan også installeres og køres på Windows-systemer.
Med Webmin kan du ændre almindelige pakkeindstillinger på farten, inklusive webservere og databaser samt administration af brugere, grupper og softwarepakker.
Webmin giver brugeren mulighed for at se de kørende processer samt detaljer om de installerede pakker, administrere systemlogfiler, redigere konfigurationsfiler i et netværksinterface, tilføje firewallregler, konfigurere tidszone og systemur, tilføje printere gennem CUPS, liste installerede Perl-moduler, konfigurere en SSH- eller server DHCP og DNS-domæneregistreringshåndtering.
Webmin 1.930 ankommer for at fjerne bagdøren
Den nye version af Webmin version 1.930 blev frigivet for at løse en sårbarhed i forbindelse med fjernudførelse af kode. Denne sårbarhed har offentligt tilgængelige udnyttelsesmoduler, som sætter mange virtuelle UNIX-styringssystemer i fare.
Sikkerhedsrådgivningen angiver, at version 1.890 (CVE-2019-15231) er sårbar i standardkonfigurationen, mens de andre berørte versioner kræver, at indstillingen "skift brugeradgangskode" er aktiveret.
Om sårbarhed
En hacker kan sende en ondsindet http-anmodning til siden med anmodning om nulstilling af adgangskode at indsprøjte kode og overtage webmin-webapplikationen. Ifølge sårbarhedsrapporten har en angriber ikke brug for et gyldigt brugernavn eller en adgangskode for at udnytte denne fejl.
Eksistensen af denne egenskab betyder, at f.eksDenne sårbarhed har potentielt været til stede i Webmin siden juli 2018.
Et angreb kræver tilstedeværelse af en åben netværksport med Webmin og aktivitet i funktionens webgrænseflade til at ændre en forældet adgangskode (som standard er den aktiveret i 1.890-buildene, men den er deaktiveret i andre versioner).
Problemet blev løst i opdatering 1.930.
Problemet blev opdaget i scriptet password_change.cgi, hvor unix_crypt-funktionen bruges til at verificere den gamle adgangskode, der er indtastet i webformularen, som sender den modtagne adgangskode fra brugeren uden at undslippe specialtegn.
I git-arkivet denne funktion er et link på Crypt :: UnixCrypt-modulet og det er ikke farligt, men i sourceforge-filen, der leveres med koden, kaldes en kode, der direkte åbner / etc / shadow, men gør det med shell-konstruktionen.
For at angribe skal du blot angive symbolet «|» i marken med den gamle adgangskode og den følgende kode kører med rodrettigheder på serveren.
Ifølge erklæringen fra Webmin-udviklerne, den ondsindede kode erstattede resultatet af kompromiset med projektinfrastrukturen.
Detaljer er endnu ikke annonceret, så det er uklart, om hacket var begrænset til at tage kontrol over en konto hos Sourceforge, eller om det påvirkede andre elementer i Webmins monterings- og udviklingsinfrastruktur.
Problemet påvirkede også Usermin builds. I øjeblikket er alle boot-filer genopbygget fra Git.