Acum câteva zile a fost lansată o nouă versiune a Webmin, pentru a atenua o vulnerabilitate identificată ca backdoor (CVE-2019-15107), găsit în versiunile oficiale ale proiectului, care este distribuit prin Sourceforge.
Ușa din spate descoperită a fost prezent în versiuni din 1.882 până în 1.921 inclusiv (nu a existat niciun cod cu un backdoor în depozitul git) și vi s-a permis să executați comenzi shell arbitrare pe un sistem privilegiat root de la distanță fără autentificare.
Despre Webmin
Pentru cei care nu știu despre Webmin ar trebui să știe asta Acesta este un panou de control bazat pe web pentru controlul sistemelor Linux. Oferă o interfață intuitivă și ușor de utilizat pentru a vă gestiona serverul. Versiunile recente ale Webmin pot fi instalate și rulate și pe sistemele Windows.
Cu Webmin, puteți modifica setările obișnuite ale pachetului din mers, inclusiv servere web și baze de date, precum și gestionarea utilizatorilor, grupurilor și pachetelor software.
Webmin permite utilizatorului să vadă procesele care rulează, precum și detalii despre pachetele instalate, gestionați fișierele jurnal de sistem, editați fișierele de configurare ale unei interfețe de rețea, adăugați reguli firewall, configurați fusul orar și ceasul sistemului, adăugați imprimante prin CUPS, listați modulele Perl instalate, configurați un SSH sau un server DHCP și un manager de înregistrări de domeniu DNS.
Webmin 1.930 ajunge pentru a elimina ușa din spate
Noua versiune a versiunii Webmin 1.930 a fost lansată pentru a remedia o vulnerabilitate la executarea codului la distanță. Această vulnerabilitate are module de exploatare disponibile publicului, ca pune în pericol numeroase sisteme virtuale de management UNIX.
Recomandările de securitate indică faptul că versiunea 1.890 (CVE-2019-15231) este vulnerabilă în configurația implicită, în timp ce celelalte versiuni afectate necesită activarea opțiunii „Modificare parolă utilizator”.
Despre vulnerabilitate
Un atacator poate trimite o solicitare http rău intenționată la pagina formularului de solicitare de resetare a parolei pentru a injecta cod și a prelua aplicația webmin. Conform raportului de vulnerabilitate, un atacator nu are nevoie de un nume de utilizator sau de o parolă validă pentru a exploata acest defect.
Existența acestei caracteristici înseamnă că eAceastă vulnerabilitate poate fi prezentă în Webmin din iulie 2018.
Un atac necesită prezența unui port de rețea deschis cu Webmin și activitate în interfața web a funcției pentru a schimba o parolă învechită (în mod implicit este activată în versiunile 1.890, dar este dezactivată în alte versiuni).
Problema a fost rezolvată în actualizarea 1.930.
Problema a fost descoperită în scriptul password_change.cgi, în care funcția unix_crypt este utilizată pentru a verifica vechea parolă introdusă în formularul web, care trimite parola primită de la utilizator fără a scăpa de caractere speciale.
În depozitul git, această funcție este o legătură pe modulul Crypt :: UnixCrypt și nu este periculos, dar în fișierul sourceforge furnizat împreună cu codul, se numește un cod care accesează direct / etc / shadow, dar face acest lucru cu construcția shell.
Pentru a ataca, trebuie doar să indicați simbolul «|» în câmpul cu parola veche iar următorul cod va rula cu privilegii de root pe server.
Conform declarației dezvoltatorilor Webmin, codul rău intenționat înlocuia rezultatul compromisului infrastructurii proiectului.
Detaliile încă nu au fost anunțate, deci nu este clar dacă hack-ul s-a limitat la preluarea controlului unui cont la Sourceforge sau dacă a afectat alte elemente ale infrastructurii de asamblare și dezvoltare a Webmin.
Problema a afectat și versiunile Usermin. În prezent, toate fișierele de boot sunt reconstruite din Git.