何日か前に バックドアとして識別された脆弱性を軽減するために、Webminの新しいバージョンがリリースされました (CVE-2019-15107)、Sourceforgeを通じて配布されているプロジェクトの公式バージョンにあります。
発見されたバックドア 1.882年から1.921年までのバージョンで存在していました 包括的(gitリポジトリにバックドアを備えたコードはありませんでした)であり、認証なしでルート特権システム上で任意のシェルコマンドをリモートで実行することが許可されていました。
Webminについて
Webminについて知らない人のために 彼らはそれを知るべきです これは、Linuxシステムを制御するためのWebベースのコントロールパネルです。 サーバーを管理するための直感的で使いやすいインターフェースを提供します。 最近のバージョンのWebminは、Windowsシステムにインストールして実行することもできます。
Webminを使用すると、一般的なパッケージ設定をその場で変更できます、Webサーバーとデータベースを含み、ユーザー、グループ、およびソフトウェアパッケージを管理します。
Webminを使用すると、ユーザーは実行中のプロセスと、インストールされているパッケージの詳細を確認できます。 システムログファイルの管理、ネットワークインターフェイスの構成ファイルの編集、ファイアウォールルールの追加、タイムゾーンとシステムクロックの構成、CUPSを介したプリンターの追加、インストールされているPerlモジュールの一覧表示、SSHまたはサーバーDHCPの構成、DNSドメインレコードマネージャー。
Webmin1.930が到着してバックドアを排除
リモートコード実行の脆弱性に対処するために、Webminバージョン1.930の新しいバージョンがリリースされました。 この脆弱性には、公開されているエクスプロイトモジュールがあります。 LO Queの 多くの仮想UNIX管理システムを危険にさらします。
セキュリティアドバイザリによると、バージョン1.890(CVE-2019-15231)はデフォルト設定で脆弱ですが、影響を受ける他のバージョンでは、「ユーザーパスワードの変更」オプションを有効にする必要があります。
脆弱性について
攻撃者は悪意のあるhttpリクエストをパスワードリセットリクエストフォームページに送信できます コードを挿入し、webminWebアプリケーションを引き継ぎます。 脆弱性レポートによると、攻撃者はこの欠陥を悪用するために有効なユーザー名やパスワードを必要としません。
この特性の存在は、eがこの脆弱性は、2018年XNUMX月以降Webminに存在する可能性があります。
攻撃には、Webminで開いているネットワークポートの存在が必要です 古いパスワードを変更する関数のWebインターフェイスでのアクティビティ(デフォルトでは、1.890ビルドでは有効になっていますが、他のバージョンでは無効になっています)。
この問題はアップデート1.930で修正されました.
この問題は、password_change.cgiスクリプトで発見されました。 unix_crypt関数を使用して、Webフォームに入力された古いパスワードを確認します。これにより、ユーザーから受信したパスワードが特殊文字をエスケープせずに送信されます。
gitリポジトリでは、 この関数は、Crypt :: UnixCryptモジュールのリンクです。 危険ではありませんが、コードとともに提供されるsourceforgeファイルでは、/ etc / shadowに直接アクセスするコードが呼び出されますが、シェル構造を使用してアクセスします。
攻撃するには、記号«|»を指定するだけです古いパスワードのフィールドで 次のコードは、サーバー上でroot権限で実行されます。
Webmin開発者の声明によると、 プロジェクトインフラストラクチャが侵害された結果、悪意のあるコードが置き換えられていました。
詳細はまだ発表されていないため、ハッキングがSourceforgeのアカウントの制御に限定されているのか、それともWebminのアセンブリおよび開発インフラストラクチャの他の要素に影響を与えているのかは不明です。
この問題は、Userminビルドにも影響しました。 現在、すべてのブートファイルはGitから再構築されています。