कुछ दिनों पहले पिछले दरवाजे के रूप में पहचानी गई भेद्यता को कम करने के लिए वेबमिन का एक नया संस्करण जारी किया गया था (CVE-2019-15107), परियोजना के आधिकारिक संस्करणों में पाया गया, जिसे सोर्सफोर्ज के माध्यम से वितरित किया गया है।
खोजे गए पिछले दरवाजे 1.882 से 1.921 के संस्करणों में मौजूद था समावेशी (git रिपॉजिटरी में एक पिछले दरवाजे के साथ कोई कोड नहीं था) और आपको प्रमाणीकरण के बिना दूरस्थ-विशेषाधिकारित सिस्टम पर मनमाने ढंग से शेल कमांड निष्पादित करने की अनुमति थी।
वेबमिन के बारे में
वेबमिन से अनजान लोगों के लिए उन्हें यह पता होना चाहिए यह लिनक्स सिस्टम को नियंत्रित करने के लिए एक वेब-आधारित नियंत्रण कक्ष है। अपने सर्वर को प्रबंधित करने के लिए एक सहज और आसान उपयोग इंटरफ़ेस प्रदान करता है। वेबमिन के हाल के संस्करणों को भी विंडोज सिस्टम पर स्थापित और चलाया जा सकता है।
वेबमिन के साथ, आप मक्खी पर आम पैकेज सेटिंग्स बदल सकते हैं, वेब सर्वर और डेटाबेस सहित, साथ ही उपयोगकर्ताओं, समूहों और सॉफ्टवेयर पैकेजों का प्रबंधन करना।
वेबमिन उपयोगकर्ता को चल रही प्रक्रियाओं को देखने की अनुमति देता है, साथ ही साथ स्थापित पैकेजों के बारे में भी जानकारी देता है, सिस्टम लॉग फ़ाइलों को प्रबंधित करें, नेटवर्क इंटरफ़ेस की कॉन्फ़िगरेशन फ़ाइलों को संपादित करें, फ़ायरवॉल नियम जोड़ें, टाइम ज़ोन और सिस्टम घड़ी को कॉन्फ़िगर करें, सीयूपीएस के माध्यम से प्रिंटर जोड़ें, पर्ल मॉड्यूल स्थापित करें, एक एसएसएच या सर्वर डीएचसीपी, और डीएनएस डोमेन रिकॉर्ड प्रबंधक को कॉन्फ़िगर करें।
वेबमैन 1.930 पिछले दरवाजे को खत्म करने के लिए आता है
एक दूरस्थ कोड निष्पादन भेद्यता को संबोधित करने के लिए वेबमिन संस्करण 1.930 का नया संस्करण जारी किया गया था। यह भेद्यता सार्वजनिक रूप से उपलब्ध शोषण मॉड्यूल है, जैसा कई वर्चुअल यूनिक्स प्रबंधन प्रणाली को खतरे में डालता है।
सुरक्षा सलाहकार इंगित करता है कि संस्करण 1.890 (CVE-2019-15231) डिफ़ॉल्ट कॉन्फ़िगरेशन में असुरक्षित है, जबकि अन्य प्रभावित संस्करणों के लिए आवश्यक है कि विकल्प "उपयोगकर्ता पासवर्ड बदलें" सक्षम हो।
भेद्यता के बारे में
एक हमलावर दुर्भावनापूर्ण http अनुरोध को पासवर्ड रीसेट अनुरोध प्रपत्र पृष्ठ पर भेज सकता है कोड इंजेक्षन करने के लिए और webmin वेब अनुप्रयोग पर ले लो। भेद्यता रिपोर्ट के अनुसार, एक हमलावर को इस दोष का फायदा उठाने के लिए वैध उपयोगकर्ता नाम या पासवर्ड की आवश्यकता नहीं है।
इस विशेषता के अस्तित्व का मतलब है कि ईयह भेद्यता संभावित रूप से जुलाई 2018 से वेबमिन में मौजूद है।
एक हमले के लिए वेबमिन के साथ एक खुले नेटवर्क पोर्ट की उपस्थिति की आवश्यकता होती है और एक पुराने पासवर्ड को बदलने के लिए फ़ंक्शन के वेब इंटरफ़ेस में गतिविधि (डिफ़ॉल्ट रूप से यह 1.890 बिल्ड में सक्षम है, लेकिन यह अन्य संस्करणों में अक्षम है)।
समस्या 1.930 अद्यतन में ठीक किया गया था.
समस्या का पता password_change.cgi स्क्रिप्ट में खोजा गया था, जिसमें unix_crypt फ़ंक्शन का उपयोग वेब फॉर्म में दर्ज पुराने पासवर्ड को सत्यापित करने के लिए किया जाता है, जो विशेष वर्णों से बचने के बिना उपयोगकर्ता से प्राप्त पासवर्ड भेजता है।
गिट रिपॉजिटरी में, यह फ़ंक्शन Crypt :: UnixCrypt मॉड्यूल पर एक लिंक है और यह खतरनाक नहीं है, लेकिन कोड के साथ प्रदान की गई सोर्सफॉर्ज फ़ाइल में, एक कोड को कहा जाता है जो सीधे पहुंच / आदि / छाया के साथ होता है, लेकिन शेल निर्माण के साथ ऐसा करता है।
हमला करने के लिए, बस प्रतीक को इंगित करें «| पुराने पासवर्ड वाले फ़ील्ड में और निम्न कोड सर्वर पर रूट विशेषाधिकारों के साथ चलेगा।
वेबमिन डेवलपर्स के बयान के अनुसार, दुर्भावनापूर्ण कोड परियोजना के बुनियादी ढांचे के समझौते के परिणाम में बदल रहा था।
विवरण की घोषणा अभी तक की गई है, इसलिए यह स्पष्ट नहीं है कि हैक सोर्सफोर्ज़ पर किसी खाते का नियंत्रण लेने के लिए सीमित था या अगर यह वेबमिन की असेंबली और विकास के बुनियादी ढांचे के अन्य तत्वों को प्रभावित करता है।
इस मुद्दे का असर उसरमिन बिल्ड पर भी पड़ा। वर्तमान में सभी बूट फ़ाइलों को Git से फिर से बनाया गया है।