Mõni päev tagasi tagauksena tuvastatud haavatavuse leevendamiseks anti välja Webmini uus versioon (CVE-2019-15107), mis on leitud projekti ametlikest versioonidest ja mida levitatakse Sourceforge'i kaudu.
Avastatud tagauks oli versioonides 1.882–1.921 kaasa arvatud (git-hoidlas ei olnud tagauksega koodi) ja teil lubati root-eelisõigustega süsteemis suvalisi shellikäske täita ilma autentimiseta.
Webmini kohta
Neile, kes ei tea Webminist nad peaksid seda teadma See on veebipõhine juhtpaneel Linuxi süsteemide juhtimiseks. Pakub oma serveri haldamiseks intuitiivset ja hõlpsasti kasutatavat liidest. Webmini hiljutisi versioone saab installida ja käivitada ka Windowsi süsteemides.
Webmini abil saate muuta pakettide tavalisi seadeid käigu pealt, sealhulgas veebiserverid ja andmebaasid, samuti kasutajate, rühmade ja tarkvarapakettide haldamine.
Webmin võimaldab kasutajal näha jooksvaid protsesse ja installitud pakettide üksikasju, hallata süsteemilogifaile, redigeerida võrguliidese konfiguratsioonifaile, lisada tulemüüri reegleid, konfigureerida ajavööndit ja süsteemikella, lisada printereid CUPS-i kaudu, loetleda installitud Perli moodulid, konfigureerida SSH või Serveri DHCP ja DNS-i domeenikirjete haldur.
Webmin 1.930 saabub tagaukse kõrvaldamiseks
Webmini versiooni 1.930 uus versioon anti välja koodi kaugkäivitamise haavatavuse kõrvaldamiseks. Sellel haavatavusel on avalikult kättesaadavad äramoodulid, kui seab paljud virtuaalsed UNIX-i juhtimissüsteemid ohtu.
Turvanõuandest ilmneb, et versioon 1.890 (CVE-2019-15231) on vaikekonfiguratsioonis haavatav, teiste mõjutatud versioonide puhul on aga lubatud valik "Muuda kasutaja parooli".
Haavatavuse kohta
Ründaja võib pahatahtliku http-päringu saata parooli lähtestamise taotlusvormi lehele koodi sisestamiseks ja Webmini veebirakenduse ülevõtmiseks. Haavatavuse aruande kohaselt ei vaja ründaja selle vea kasutamiseks kehtivat kasutajanime ega parooli.
Selle tunnuse olemasolu tähendab, et eSee haavatavus on Webminis potentsiaalselt olemas alates 2018. aasta juulist.
Rünnak eeldab avatud võrgupordi olemasolu koos Webminiga ja tegevus veebiliideses vananenud parooli muutmiseks (vaikimisi on see lubatud 1.890 järkudes, kuid teistes versioonides on see keelatud).
Probleem lahendati värskenduses 1.930.
Probleem avastati skriptis password_change.cgi, milles veebivormi sisestatud vana parooli kontrollimiseks kasutatakse funktsiooni unix_crypt, mis saadab kasutajalt saadud parooli erimärkidest põgenemata.
Git-hoidlas see funktsioon on link Crypt :: UnixCrypt moodulis ja see pole ohtlik, kuid koodiga kaasas olevas failis sourceforge nimetatakse koodi, mis pääseb otse / etc / shadow juurde, kuid teeb seda koos shellikonstruktsiooniga.
Rünnakuks märkige lihtsalt sümbol «|» vana parooliga väljal ja järgmine kood töötab serveri juurõigustega.
Webmini arendajate avalduse kohaselt projekti infrastruktuuri kompromissi tulemusel asendati pahatahtlik kood.
Üksikasjad on veel avaldamata, mistõttu pole selge, kas häkkimine piirdus Sourceforge'i konto juhtimise kontrollimisega või mõjutas see Webmini komplekteerimise ja arendamise infrastruktuuri muid elemente.
See probleem puudutas ka Usermini ehitisi. Praegu on kõik alglaadimisfailid Gitist ümber ehitatud.