几天前 Webmin的新版本发布,以缓解被识别为后门的漏洞 (CVE-2019-15107),在项目的正式版本中找到,该版本通过Sourceforge分发。
被发现的后门 存在于1.882年至1.921年的版本中 包含(包括git存储库中没有带有后门的代码),并且允许您在未经身份验证的情况下远程执行具有root特权的系统上的任意shell命令。
关于Webmin
对于那些不了解Webmin的人 他们应该知道 这是用于控制Linux系统的基于Web的控制面板。 提供直观且易于使用的界面来管理服务器。 Webmin的最新版本也可以在Windows系统上安装和运行。
借助Webmin,您可以即时更改常用的软件包设置,包括Web服务器和数据库,以及管理用户,组和软件包。
Webmin允许用户查看正在运行的进程以及有关已安装软件包的详细信息, 管理系统日志文件,编辑网络接口的配置文件,添加防火墙规则,配置时区和系统时钟,通过CUPS添加打印机,列出已安装的Perl模块,配置SSH或服务器DHCP以及DNS域记录管理器。
Webmin 1.930到达消除后门
Webmin 1.930的新版本已发布,以解决远程执行代码漏洞。 此漏洞具有公开可用的漏洞利用模块, 劳阙 使许多虚拟UNIX管理系统面临风险。
安全公告表明,默认配置下的1.890版(CVE-2019-15231)容易受到攻击,而其他受影响的版本则要求启用选项“更改用户密码”。
关于漏洞
攻击者可以向密码重置请求表单页面发送恶意的http请求。 注入代码并接管webmin Web应用程序。 根据漏洞报告,攻击者不需要有效的用户名或密码即可利用此漏洞。
此特征的存在意味着e自2018年XNUMX月以来,Webmin中可能已经存在此漏洞。
攻击需要Webmin使用开放的网络端口 并在该功能的Web界面中进行活动以更改过时的密码(默认情况下,此密码在1.890年版本中已启用,但在其他版本中已禁用)。
此问题已在1.930更新中修复.
该问题是在password_change.cgi脚本中发现的, 其中unix_crypt函数用于验证在Web表单中输入的旧密码,该旧密码发送从用户收到的密码而不会转义特殊字符。
在git储存库中, 此函数是Crypt :: UnixCrypt模块上的链接 并不危险,但是在代码附带的sourceforge文件中,调用了一个代码,该代码可以直接访问/ etc / shadow,但使用shell构造即可。
要进行攻击,只需指示符号«|» 在旧密码字段中 并且以下代码将以root特权在服务器上运行。
根据Webmin开发人员的声明, 由于项目基础架构遭到破坏,恶意代码正在被替换。
详细信息尚未公布,因此尚不清楚该黑客是否仅限于控制Sourceforge的帐户,或者是否影响了Webmin的组装和开发基础结构的其他元素。
该问题还影响了Usermin的版本。 当前,所有引导文件都是从Git重建的。