Några dagar sedan en ny version av Webmin släpptes för att mildra en sårbarhet som identifierats som en bakdörr (CVE-2019-15107), finns i de officiella versionerna av projektet, som distribueras via Sourceforge.
Den upptäckta bakdörren var närvarande i versioner från 1.882 till 1.921 inklusive (det fanns ingen kod med en bakdörr i gitförvaret) och du fick utföra godtyckliga skalkommandon på ett root-privilegierat system på distans utan autentisering.
Om Webmin
För de som inte känner till Webmin de borde veta det Detta är en webbaserad kontrollpanel för styrning av Linux-system. Ger ett intuitivt och lättanvänt gränssnitt för att hantera din server. Senaste versioner av Webmin kan också installeras och köras på Windows-system.
Med Webmin kan du ändra vanliga paketinställningar i farten, inklusive webbservrar och databaser, samt hantering av användare, grupper och mjukvarupaket.
Webmin tillåter användaren att se pågående processer, samt information om de installerade paketen, hantera systemloggfiler, redigera konfigurationsfiler i ett nätverksgränssnitt, lägga till brandväggsregler, konfigurera tidszon och systemklocka, lägga till skrivare via CUPS, lista installerade Perl-moduler, konfigurera en SSH- eller server DHCP och DNS-domänregistreringshanterare.
Webmin 1.930 anländer för att eliminera bakdörren
Den nya versionen av Webmin version 1.930 släpptes för att åtgärda en sårbarhet för fjärrkörning av kod. Denna sårbarhet har allmänt tillgängliga exploateringsmoduler, som riskerar många virtuella UNIX-hanteringssystem.
Säkerhetsrådgivningen anger att version 1.890 (CVE-2019-15231) är sårbar i standardkonfigurationen, medan de andra berörda versionerna kräver att alternativet "ändra användarlösenord" är aktiverat.
Om sårbarhet
En angripare kan skicka en skadlig http-begäran till formulärsidan för begäran om lösenordsåterställning för att injicera kod och ta över webmin-webbapplikationen. Enligt sårbarhetsrapporten behöver en angripare inte ha ett giltigt användarnamn eller lösenord för att utnyttja detta fel.
Förekomsten av denna egenskap innebär att eDenna sårbarhet har potentiellt funnits i Webmin sedan juli 2018.
En attack kräver närvaro av en öppen nätverksport med Webmin och aktivitet i webbgränssnittet för funktionen för att ändra ett föråldrat lösenord (som standard är det aktiverat i 1.890-byggnaderna, men det är inaktiverat i andra versioner).
Problemet åtgärdades i uppdatering 1.930.
Problemet upptäcktes i scriptet password_change.cgi, där unix_crypt-funktionen används för att verifiera det gamla lösenordet som anges i webbformuläret, vilket skickar lösenordet som tas emot från användaren utan att undgå specialtecken.
I gitförvaret, den här funktionen är en länk på Crypt :: UnixCrypt-modulen och det är inte farligt, men i sourceforge-filen som medföljer koden kallas en kod som direkt kommer åt / etc / shadow, men gör det med skalkonstruktionen.
För att attackera, ange bara symbolen «|» i fältet med det gamla lösenordet och följande kod körs med rootprivilegier på servern.
Enligt uttalandet från Webmin-utvecklarna, den skadliga koden ersattes till följd av kompromissen med projektinfrastrukturen.
Detaljer har ännu inte meddelats, så det är oklart om hacket var begränsat till att ta kontroll över ett konto hos Sourceforge eller om det påverkade andra delar av Webmins monterings- och utvecklingsinfrastruktur.
Frågan påverkade också Usermin-byggnader. För närvarande byggs alla startfiler om från Git.