Prieš kelias dienas buvo išleista nauja „Webmin“ versija, siekiant sušvelninti pažeidžiamumą, nurodytą kaip užpakalinė duris (CVE-2019-15107), rasta oficialiose projekto versijose, kuri platinama per „Sourceforge“.
Atrastas užnugaris buvo versijose nuo 1.882 iki 1.921 m imtinai („git“ saugykloje nebuvo kodo su užraktu) ir jums buvo leista vykdyti savavališkas „shell“ komandas „root“ privilegijuotoje sistemoje nuotoliniu būdu be autentifikavimo.
Apie „Webmin“
Tiems, kurie nežino apie „Webmin“ jie turėtų tai žinoti Tai internetinis valdymo skydelis, skirtas valdyti „Linux“ sistemas. Pateikia intuityvią ir lengvai naudojamą sąsają jūsų serveriui valdyti. Naujausias „Webmin“ versijas taip pat galima įdiegti ir paleisti „Windows“ sistemose.
Naudodamiesi „Webmin“, galite keisti įprastus paketo nustatymus iš karto, įskaitant žiniatinklio serverius ir duomenų bazes, taip pat vartotojų, grupių ir programinės įrangos paketų valdymą.
„Webmin“ leidžia vartotojui pamatyti vykstančius procesus, taip pat išsamią informaciją apie įdiegtus paketus, tvarkyti sistemos žurnalo failus, redaguoti tinklo sąsajos konfigūracijos failus, pridėti užkardos taisykles, konfigūruoti laiko juostą ir sistemos laikrodį, pridėti spausdintuvus per CUPS, išvardyti įdiegtus „Perl“ modulius, sukonfigūruoti SSH arba „Server DHCP“ ir DNS domenų įrašų tvarkytuvę.
„Webmin 1.930“ atvyksta pašalinti užpakalinę duris
Buvo išleista nauja „Webmin“ versijos 1.930 versija, skirta pašalinti nuotolinio kodo vykdymo pažeidžiamumą. Šis pažeidžiamumas yra viešai prieinami išnaudojimo moduliai, kas kelia pavojų daugybei virtualių UNIX valdymo sistemų.
Saugos patarime nurodoma, kad numatytojoje konfigūracijoje 1.890 versija (CVE-2019-15231) yra pažeidžiama, o kitose paveiktose versijose reikalaujama, kad būtų įjungta parinktis „pakeisti vartotojo slaptažodį“.
Apie pažeidžiamumą
Užpuolikas gali nusiųsti kenkėjišką http užklausą į slaptažodžio nustatymo iš naujo užklausos formos puslapį įšvirkšti kodą ir perimti žiniatinklio programą „webmin“. Remiantis pažeidžiamumo ataskaita, užpuolikui nereikia galiojančio vartotojo vardo ar slaptažodžio, kad galėtų išnaudoti šį trūkumą.
Šios charakteristikos buvimas reiškia, kad elŠis pažeidžiamumas „Webmin“ gali būti nuo 2018 m. Liepos mėn.
Atakai reikalingas atviro tinklo prievadas su „Webmin“ ir veikla žiniatinklio sąsajoje, kad būtų pakeistas pasenęs slaptažodis (pagal numatytuosius nustatymus jis įjungtas 1.890 versijoje, tačiau kitose versijose jis yra išjungtas).
Problema buvo išspręsta 1.930 naujinime.
Problema buvo aptikta scenarijuje password_change.cgi, kurioje funkcija unix_crypt naudojama patikrinti seną slaptažodį, įvestą žiniatinklio formoje, kuris siunčia iš vartotojo gautą slaptažodį neišvengdamas specialiųjų simbolių.
„Git“ saugykloje ši funkcija yra nuoroda modulyje „Crypt :: UnixCrypt“ ir tai nėra pavojinga, tačiau kartu su kodu esančiame sourceforge faile vadinamas kodas, kuris tiesiogiai pasiekia / etc / shadow, bet tai daro su apvalkalo konstrukcija.
Norėdami pulti, tiesiog nurodykite simbolį «|» lauke su senu slaptažodžiu ir šis kodas bus paleistas su root teisėmis serveryje.
Pagal „Webmin“ kūrėjų pareiškimą, kenkėjiškas kodas buvo pakeistas dėl kompromiso projekto infrastruktūroje.
Informacija dar nepaskelbta, todėl neaišku, ar įsilaužimas apsiribojo paskyros „Sourceforge“ valdymu, ar tai turėjo įtakos kitiems „Webmin“ surinkimo ir kūrimo infrastruktūros elementams.
Šis klausimas taip pat paveikė „Usermin“ kūrinius. Šiuo metu visi įkrovos failai yra atstatyti iš „Git“.