Vor ein paar Tagen Eine neue Version von Webmin wurde veröffentlicht, um eine als Hintertür identifizierte Sicherheitsanfälligkeit zu verringern (CVE-2019-15107), gefunden in den offiziellen Versionen des Projekts, das über Sourceforge vertrieben wird.
Die Hintertür entdeckt war in Versionen von 1.882 bis 1.921 vorhanden inklusive (es gab keinen Code mit einer Hintertür im Git-Repository) und Sie durften beliebige Shell-Befehle auf einem Root-privilegierten System remote ohne Authentifizierung ausführen.
Über Webmin
Für diejenigen, die Webmin nicht kennen Sie sollten das wissen Dies ist ein webbasiertes Control Panel zur Steuerung von Linux-Systemen. Bietet eine intuitive und benutzerfreundliche Oberfläche zur Verwaltung Ihres Servers. Neuere Versionen von Webmin können auch auf Windows-Systemen installiert und ausgeführt werden.
Mit Webmin können Sie allgemeine Paketeinstellungen im laufenden Betrieb ändernDazu gehören Webserver und Datenbanken sowie die Verwaltung von Benutzern, Gruppen und Softwarepaketen.
Mit Webmin kann der Benutzer die laufenden Prozesse sowie Details zu den installierten Paketen anzeigen. Verwalten Sie Systemprotokolldateien, bearbeiten Sie Konfigurationsdateien einer Netzwerkschnittstelle, fügen Sie Firewallregeln hinzu, konfigurieren Sie Zeitzone und Systemuhr, fügen Sie Drucker über CUPS hinzu, listen Sie installierte Perl-Module auf, konfigurieren Sie einen SSH- oder Server-DHCP- und DNS-Domäneneintragsmanager.
Webmin 1.930 kommt an, um die Hintertür zu beseitigen
Die neue Version von Webmin Version 1.930 wurde veröffentlicht, um eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung zu beheben. Diese Sicherheitsanfälligkeit verfügt über öffentlich verfügbare Exploit-Module. als gefährdet viele virtuelle UNIX-Verwaltungssysteme.
Die Sicherheitshinweise geben an, dass Version 1.890 (CVE-2019-15231) in der Standardkonfiguration anfällig ist, während für die anderen betroffenen Versionen die Option "Benutzerkennwort ändern" aktiviert sein muss.
Über Verwundbarkeit
Ein Angreifer kann eine böswillige http-Anfrage an die Formularanforderungsseite zum Zurücksetzen des Kennworts senden Code einfügen und die Webmin-Webanwendung übernehmen. Laut dem Schwachstellenbericht benötigt ein Angreifer keinen gültigen Benutzernamen oder kein gültiges Kennwort, um diesen Fehler auszunutzen.
Die Existenz dieses Merkmals bedeutet, dass eDiese Sicherheitsanfälligkeit ist möglicherweise seit Juli 2018 in Webmin vorhanden.
Ein Angriff erfordert das Vorhandensein eines offenen Netzwerkports mit Webmin und Aktivität in der Weboberfläche der Funktion zum Ändern eines veralteten Kennworts (standardmäßig ist es in den 1.890-Builds aktiviert, in anderen Versionen jedoch deaktiviert).
Das Problem wurde in Update 1.930 behoben.
Das Problem wurde im Skript password_change.cgi entdeckt. In dieser Funktion wird mit der Funktion unix_crypt das alte Kennwort überprüft, das im Webformular eingegeben wurde. Dadurch wird das vom Benutzer empfangene Kennwort gesendet, ohne dass Sonderzeichen verloren gehen.
Im Git-Repository Diese Funktion ist ein Link zum Crypt :: UnixCrypt-Modul und es ist nicht gefährlich, aber in der mit dem Code gelieferten Quellschmiededatei wird ein Code aufgerufen, der direkt auf / etc / shadow zugreift, dies jedoch mit dem Shell-Konstrukt.
Um anzugreifen, geben Sie einfach das Symbol «|» an im Feld mit dem alten Passwort Der folgende Code wird mit Root-Rechten auf dem Server ausgeführt.
Laut Aussage der Webmin-Entwickler Der Schadcode wurde durch den Kompromiss der Projektinfrastruktur ersetzt.
Details müssen noch bekannt gegeben werden, daher ist unklar, ob sich der Hack darauf beschränkte, die Kontrolle über ein Konto bei Sourceforge zu übernehmen, oder ob er andere Elemente der Montage- und Entwicklungsinfrastruktur von Webmin betraf.
Das Problem betraf auch Usermin-Builds. Derzeit werden alle Boot-Dateien von Git neu erstellt.