Ang bagong bersyon ng Webmin1.930 ay nagtanggal ng isang backdoor na naroroon nang hindi bababa sa isang taon

Darkcrizt

4 Minutos

backdoor

Ilang araw na nakalipas isang bagong bersyon ng Webmin ang pinakawalan upang mapagaan ang isang kahinaan na kinilala bilang isang backdoor (CVE-2019-15107), na natagpuan sa mga opisyal na bersyon ng proyekto, na ipinamamahagi sa pamamagitan ng Sourceforge.

Ang natuklasan sa likod ng pintuan ay naroroon sa mga bersyon mula 1.882 hanggang 1.921 kasama (walang code na may backdoor sa git repository) at pinayagan kang magpatupad ng di-makatwirang mga utos ng shell sa isang sistemang may pribilehiyong root na malayuan nang walang pagpapatotoo.

Tungkol sa Webmin

Para sa mga walang kamalayan sa Webmin Dapat nilang malaman iyon Ito ay isang control panel na batay sa web para sa pagkontrol sa mga system ng Linux. Nagbibigay ng isang madaling maunawaan at madaling gamiting interface upang pamahalaan ang iyong server. Ang mga kamakailang bersyon ng Webmin ay maaari ding mai-install at patakbuhin sa mga system ng Windows.

Sa Webmin, maaari mong baguhin ang mga karaniwang setting ng package nang mabilis, kabilang ang mga web server at database, pati na rin ang pamamahala ng mga gumagamit, pangkat, at mga package ng software.

Pinapayagan ng Webmin ang gumagamit na makita ang mga tumatakbo na proseso, pati na rin ang mga detalye tungkol sa mga naka-install na pakete, pamahalaan ang mga file ng system log, i-edit ang mga file ng pagsasaayos ng isang interface ng network, magdagdag ng mga patakaran ng firewall, i-configure ang time zone at system orasan, magdagdag ng mga printer sa pamamagitan ng CUPS, ilista ang mga naka-install na module ng Perl, i-configure ang isang SSH o Server DHCP, at DNS domain record manager.

Dumating ang Webmin 1.930 upang maalis ang backdoor

Ang bagong bersyon ng bersyon ng Webmin na 1.930 ay inilabas upang matugunan ang isang kahinaan sa pagpapatupad ng remote code. Ang kahinaan na ito ay may magagamit sa publiko na mga exploit module, bilang naglalagay ng peligro sa maraming mga system ng pamamahala ng UNIX.

Ipinapahiwatig ng tagapayo sa seguridad na ang bersyon 1.890 (CVE-2019-15231) ay mahina sa default na pagsasaayos, habang ang iba pang mga apektadong bersyon ay kinakailangan na ang pagpipiliang "baguhin ang password ng gumagamit" ay pinagana.

Tungkol sa kahinaan

Ang isang magsasalakay ay maaaring magpadala ng isang nakakahamak na kahilingan sa http sa pahina ng form ng kahilingan sa pag-reset ng password upang mag-iniksyon ng code at sakupin ang webmin web application. Ayon sa ulat ng kahinaan, ang isang magsasalakay ay hindi nangangailangan ng isang wastong username o password upang magamit ang kapintasan na ito.

Ang pagkakaroon ng katangiang ito ay nangangahulugang eAng kahinaan na ito ay potensyal na naroroon sa Webmin mula noong Hulyo 2018.

Ang isang pag-atake ay nangangailangan ng pagkakaroon ng isang bukas na network port sa Webmin at aktibidad sa web interface ng pagpapaandar upang baguhin ang isang hindi napapanahong password (bilang default na ito ay pinagana sa mga pagbuo noong 1.890, ngunit hindi ito pinagana sa ibang mga bersyon).

Ang problema ay naayos sa pag-update ng 1.930.

Bilang isang pansamantalang hakbang upang ma-lock ang pintuan sa likuran, alisin lamang ang setting na "passwd_mode =" mula sa /etc/webmin/miniserv.conf config file. Ang isang pagsamantalang prototype ay inihanda para sa pagsubok.

Ang problema ay natuklasan sa script ng password_change.cgi, kung saan ginagamit ang pagpapaandar na unix_crypt upang mapatunayan ang lumang password na ipinasok sa form sa web, na nagpapadala ng password na natanggap mula sa gumagamit nang hindi nakakatakas sa mga espesyal na character.

Sa git repository, ang pagpapaandar na ito ay isang link sa module ng Crypt :: UnixCrypt at ito ay hindi mapanganib, ngunit sa sourceforge file na ibinigay kasama ng code, ang isang code ay tinawag na direktang ina-access / etc / anino, ngunit ginagawa ito sa paggawa ng shell.

Upang atake, ipahiwatig lamang ang simbolo «|» sa patlang na may lumang password at tatakbo ang sumusunod na code na may mga pribilehiyong ugat sa server.

Ayon sa pahayag mula sa mga developer ng Webmin, ang nakakahamak na code ay pumapalit sa resulta ng kompromiso ng imprastraktura ng proyekto.

Ang mga detalye ay hindi pa inihayag, kaya hindi malinaw kung ang pag-hack ay limitado sa kontrol ng isang account sa Sourceforge o kung nakakaapekto ito sa iba pang mga elemento ng pagpupulong at pag-unlad na imprastraktura ng Webmin.

Naapektuhan din ng isyu ang pagbuo ni Usermin. Sa kasalukuyan ang lahat ng mga boot file ay itinayong muli mula sa Git.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.