ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಬ್ಯಾಕ್ಡೋರ್ ಎಂದು ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಯನ್ನು ತಗ್ಗಿಸುವ ಸಲುವಾಗಿ ವೆಬ್ಮಿನ್ನ ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು (ಸಿವಿಇ-2019-15107), ಯೋಜನೆಯ ಅಧಿಕೃತ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಕಂಡುಬರುತ್ತದೆ, ಇದನ್ನು ಸೋರ್ಸ್ಫೋರ್ಜ್ ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ.
ಪತ್ತೆಯಾದ ಹಿಂಬಾಗಿಲು 1.882 ರಿಂದ 1.921 ರವರೆಗಿನ ಆವೃತ್ತಿಗಳಲ್ಲಿ ಇತ್ತು ಅಂತರ್ಗತ (ಗಿಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಬ್ಯಾಕ್ಡೋರ್ನೊಂದಿಗೆ ಯಾವುದೇ ಕೋಡ್ ಇರಲಿಲ್ಲ) ಮತ್ತು ದೃ hentic ೀಕರಣವಿಲ್ಲದೆ ದೂರದಿಂದಲೇ ರೂಟ್-ಸವಲತ್ತು ಪಡೆದ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿ ನೀಡಲಾಗಿದೆ.
ವೆಬ್ಮಿನ್ ಬಗ್ಗೆ
ವೆಬ್ಮಿನ್ ಬಗ್ಗೆ ತಿಳಿದಿಲ್ಲದವರಿಗೆ ಅವರು ಅದನ್ನು ತಿಳಿದಿರಬೇಕು ಇದು ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳನ್ನು ನಿಯಂತ್ರಿಸಲು ವೆಬ್ ಆಧಾರಿತ ನಿಯಂತ್ರಣ ಫಲಕವಾಗಿದೆ. ನಿಮ್ಮ ಸರ್ವರ್ ಅನ್ನು ನಿರ್ವಹಿಸಲು ಅರ್ಥಗರ್ಭಿತ ಮತ್ತು ಬಳಸಲು ಸುಲಭವಾದ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ವೆಬ್ಮಿನ್ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗಳನ್ನು ಸಹ ಸ್ಥಾಪಿಸಬಹುದು ಮತ್ತು ವಿಂಡೋಸ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಚಲಾಯಿಸಬಹುದು.
ವೆಬ್ಮಿನ್ನೊಂದಿಗೆ, ನೀವು ಹಾರಾಡುತ್ತ ಸಾಮಾನ್ಯ ಪ್ಯಾಕೇಜ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದುವೆಬ್ ಸರ್ವರ್ಗಳು ಮತ್ತು ಡೇಟಾಬೇಸ್ಗಳು, ಹಾಗೆಯೇ ಬಳಕೆದಾರರು, ಗುಂಪುಗಳು ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು ಸೇರಿದಂತೆ.
ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು, ಹಾಗೆಯೇ ಸ್ಥಾಪಿಸಲಾದ ಪ್ಯಾಕೇಜ್ಗಳ ವಿವರಗಳನ್ನು ನೋಡಲು ವೆಬ್ಮಿನ್ ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸುತ್ತದೆ, ಸಿಸ್ಟಮ್ ಲಾಗ್ ಫೈಲ್ಗಳನ್ನು ನಿರ್ವಹಿಸಿ, ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ನ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳನ್ನು ಸಂಪಾದಿಸಿ, ಫೈರ್ವಾಲ್ ನಿಯಮಗಳನ್ನು ಸೇರಿಸಿ, ಸಮಯ ವಲಯ ಮತ್ತು ಸಿಸ್ಟಮ್ ಗಡಿಯಾರವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, CUPS ಮೂಲಕ ಮುದ್ರಕಗಳನ್ನು ಸೇರಿಸಿ, ಸ್ಥಾಪಿಸಲಾದ ಪರ್ಲ್ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡಿ, ಒಂದು SSH ಅಥವಾ ಸರ್ವರ್ DHCP ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ ಮತ್ತು DNS ಡೊಮೇನ್ ರೆಕಾರ್ಡ್ ಮ್ಯಾನೇಜರ್.
ಹಿಂಬಾಗಿಲನ್ನು ತೊಡೆದುಹಾಕಲು ವೆಬ್ಮಿನ್ 1.930 ಆಗಮಿಸುತ್ತದೆ
ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ದುರ್ಬಲತೆಯನ್ನು ಪರಿಹರಿಸಲು ವೆಬ್ಮಿನ್ ಆವೃತ್ತಿ 1.930 ರ ಹೊಸ ಆವೃತ್ತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. ಈ ದುರ್ಬಲತೆಯು ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಶೋಷಣೆ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಹೊಂದಿದೆ, ಏನು ಅನೇಕ ವರ್ಚುವಲ್ ಯುನಿಕ್ಸ್ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಅಪಾಯದಲ್ಲಿರಿಸುತ್ತದೆ.
ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಆವೃತ್ತಿ 1.890 (ಸಿವಿಇ -2019-15231) ದುರ್ಬಲವಾಗಿದೆ ಎಂದು ಭದ್ರತಾ ಸಲಹಾ ಸೂಚಿಸುತ್ತದೆ, ಆದರೆ ಇತರ ಪೀಡಿತ ಆವೃತ್ತಿಗಳಿಗೆ "ಬಳಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ ಬದಲಾಯಿಸು" ಆಯ್ಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕಾಗುತ್ತದೆ.
ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ
ಪಾಸ್ವರ್ಡ್ ಮರುಹೊಂದಿಸುವ ವಿನಂತಿ ಫಾರ್ಮ್ ಪುಟಕ್ಕೆ ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ http ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಬಹುದು ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚಲು ಮತ್ತು ವೆಬ್ಮಿನ್ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು. ದುರ್ಬಲತೆ ವರದಿಯ ಪ್ರಕಾರ, ಈ ನ್ಯೂನತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಆಕ್ರಮಣಕಾರನಿಗೆ ಮಾನ್ಯವಾದ ಬಳಕೆದಾರಹೆಸರು ಅಥವಾ ಪಾಸ್ವರ್ಡ್ ಅಗತ್ಯವಿಲ್ಲ.
ಈ ಗುಣಲಕ್ಷಣದ ಅಸ್ತಿತ್ವ ಎಂದರೆ ಇಈ ದುರ್ಬಲತೆಯು ಜುಲೈ 2018 ರಿಂದ ವೆಬ್ಮಿನ್ನಲ್ಲಿ ಕಂಡುಬರುತ್ತದೆ.
ಆಕ್ರಮಣಕ್ಕೆ ವೆಬ್ಮಿನ್ನೊಂದಿಗೆ ಮುಕ್ತ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ ಇರುವ ಅಗತ್ಯವಿದೆ ಮತ್ತು ಹಳತಾದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಕಾರ್ಯದ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿನ ಚಟುವಟಿಕೆ (ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಇದನ್ನು 1.890 ನಿರ್ಮಾಣಗಳಲ್ಲಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಇದನ್ನು ಇತರ ಆವೃತ್ತಿಗಳಲ್ಲಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ).
ನವೀಕರಣ 1.930 ರಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
ಪಾಸ್ವರ್ಡ್_ಚೇಂಜ್ ಸಿಜಿ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ, ಇದರಲ್ಲಿ ವೆಬ್ ರೂಪದಲ್ಲಿ ನಮೂದಿಸಲಾದ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಯುನಿಕ್ಸ್_ಕ್ರಿಪ್ಟ್ ಕಾರ್ಯವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ವಿಶೇಷ ಅಕ್ಷರಗಳಿಂದ ತಪ್ಪಿಸದೆ ಬಳಕೆದಾರರಿಂದ ಪಡೆದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತದೆ.
ಜಿಟ್ ಭಂಡಾರದಲ್ಲಿ, ಈ ಕಾರ್ಯವು ಕ್ರಿಪ್ಟ್ :: ಯುನಿಕ್ಸ್ಕ್ರಿಪ್ಟ್ ಮಾಡ್ಯೂಲ್ನಲ್ಲಿನ ಲಿಂಕ್ ಆಗಿದೆ ಮತ್ತು ಇದು ಅಪಾಯಕಾರಿ ಅಲ್ಲ, ಆದರೆ ಕೋಡ್ನೊಂದಿಗೆ ಒದಗಿಸಲಾದ ಸೋರ್ಸ್ಫೋರ್ಜ್ ಫೈಲ್ನಲ್ಲಿ, / etc / shadow ಅನ್ನು ನೇರವಾಗಿ ಪ್ರವೇಶಿಸುವ ಕೋಡ್ ಅನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ, ಆದರೆ ಶೆಲ್ ರಚನೆಯೊಂದಿಗೆ ಹಾಗೆ ಮಾಡುತ್ತದೆ.
ದಾಳಿ ಮಾಡಲು, «| the ಚಿಹ್ನೆಯನ್ನು ಸೂಚಿಸಿ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಕ್ಷೇತ್ರದಲ್ಲಿ ಮತ್ತು ಕೆಳಗಿನ ಕೋಡ್ ಸರ್ವರ್ನಲ್ಲಿ ರೂಟ್ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ವೆಬ್ಮಿನ್ ಡೆವಲಪರ್ಗಳ ಹೇಳಿಕೆಯ ಪ್ರಕಾರ, ಯೋಜನೆಯ ಮೂಲಸೌಕರ್ಯದ ರಾಜಿ ಪರಿಣಾಮವಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಬದಲಾಯಿಸಲಾಗುತ್ತಿದೆ.
ವಿವರಗಳನ್ನು ಇನ್ನೂ ಘೋಷಿಸಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ಹ್ಯಾಕ್ ಸೋರ್ಸ್ಫೋರ್ಜ್ನಲ್ಲಿ ಖಾತೆಯ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳುವುದಕ್ಕೆ ಸೀಮಿತವಾಗಿದೆಯೇ ಅಥವಾ ವೆಬ್ಮಿನ್ನ ಜೋಡಣೆ ಮತ್ತು ಅಭಿವೃದ್ಧಿ ಮೂಲಸೌಕರ್ಯದ ಇತರ ಅಂಶಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆಯೇ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ.
ಈ ಸಮಸ್ಯೆಯು ಯೂಸರ್ಮಿನ್ ನಿರ್ಮಾಣಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿತು. ಪ್ರಸ್ತುತ ಎಲ್ಲಾ ಬೂಟ್ ಫೈಲ್ಗಳನ್ನು Git ನಿಂದ ಮರುನಿರ್ಮಿಸಲಾಗಿದೆ.