Disa ditë më parë u botua një version i ri i Webmin në mënyrë që të zbutet një cenueshmëri e identifikuar si një derë e pasme (CVE-2019-15107), gjetur në versionet zyrtare të projektit, i cili është shpërndarë përmes Sourceforge.
Backdoor i zbuluar ishte i pranishëm në versione nga 1.882 deri në 1.921 përfshirëse (nuk kishte asnjë kod me një derë të pasme në depon e git) dhe ju lejohej të ekzekutoni komandat arbitrare të shell në një sistem të privilegjuar rrënjë në distancë pa vërtetim.
Rreth Webmin
Për ata që nuk janë në dijeni të Webmin ata duhet ta dinë këtë Ky është një panel kontrolli i bazuar në internet për kontrollimin e sistemeve Linux. Siguron një ndërfaqe intuitive dhe të lehtë për t’u përdorur për të menaxhuar serverin tuaj. Versionet e fundit të Webmin gjithashtu mund të instalohen dhe ekzekutohen në sistemet Windows.
Me Webmin, mund të ndryshoni menjëherë cilësimet e paketës, duke përfshirë serverat e internetit dhe bazat e të dhënave, si dhe menaxhimin e përdoruesve, grupeve dhe paketave të programeve.
Webmin lejon përdoruesin të shohë proceset e ekzekutimit, si dhe detajet në lidhje me paketat e instaluara, menaxhoni skedarët e regjistrit të sistemit, ndryshoni skedarët e konfigurimit të një ndërfaqeje rrjeti, shtoni rregulla të firewall, konfiguroni zonën kohore dhe orën e sistemit, shtoni printera përmes CUPS, listoni modulet e instaluara Perl, konfiguroni një SSH ose Server DHCP dhe menaxherin e regjistrave të domenit DNS.
Webmin 1.930 arrin për të eleminuar backdoor
Versioni i ri i Webmin version 1.930 u lëshua për të adresuar një dobësi të ekzekutimit të kodit në distancë. Kjo dobësi ka module të shfrytëzimit në dispozicion të publikut, çfarëdo vë në rrezik shumë sisteme virtuale të menaxhimit të UNIX.
Këshillimi i sigurisë tregon se versioni 1.890 (CVE-2019-15231) është i prekshëm në konfigurimin e paracaktuar, ndërsa versionet e tjera të prekura kërkojnë që opsioni "ndrysho fjalëkalimin e përdoruesit" të jetë i aktivizuar.
Rreth cenueshmërisë
Një sulmues mund të dërgojë një kërkesë të dëmshme http në faqen e formularit të kërkesës për rivendosjen e fjalëkalimit për të injektuar kodin dhe për të marrë përsipër aplikacionin web webmin. Sipas raportit të cenueshmërisë, një sulmues nuk ka nevojë për një emër përdoruesi ose fjalëkalim të vlefshëm për të shfrytëzuar këtë defekt.
Ekzistenca e kësaj karakteristike do të thotë që eKjo dobësi ka qenë potencialisht e pranishme në Webmin që nga korriku 2018.
Një sulm kërkon praninë e një porti të hapur të rrjetit me Webmin dhe aktiviteti në ndërfaqen e internetit të funksionit për të ndryshuar një fjalëkalim të vjetëruar (si parazgjedhje është aktivizuar në ndërtimet e vitit 1.890, por është i paaftë në versionet e tjera).
Problemi u rregullua në azhurnimin 1.930.
Problemi u zbulua në skenarin e password_change.cgi, në të cilin përdoret funksioni unix_crypt për të verifikuar fjalëkalimin e vjetër të futur në formën e uebit, i cili dërgon fjalëkalimin e marrë nga përdoruesi pa shpëtuar nga karakteret speciale.
Në depon e git, ky funksion është një lidhje në modulin Crypt :: UnixCrypt dhe nuk është i rrezikshëm, por në skedarin burimforge të siguruar me kodin, thirret një kod që akseson drejtpërdrejt në / etj / hije, por e bën këtë me konstruktin e guaskës.
Për të sulmuar, thjesht tregoni simbolin «|» në fushë me fjalëkalimin e vjetër dhe kodi i mëposhtëm do të ekzekutohet me privilegjet root në server.
Sipas deklaratës nga zhvilluesit Webmin, kodi me qëllim të keq po zëvendësohej si rezultat i kompromisit të infrastrukturës së projektit.
Detajet ende nuk janë njoftuar, kështu që është e paqartë nëse sulmi ishte i kufizuar në marrjen nën kontroll të një llogarie në Sourceforge apo nëse ai prekte elementë të tjerë të asamblesë dhe infrastrukturës së zhvillimit të Webmin.
Çështja gjithashtu preku ndërtimet e Usermin. Aktualisht të gjitha skedarët boot janë rindërtuar nga Git.