幾天前 Webmin的新版本發布,以緩解被識別為後門的漏洞 (CVE-2019-15107),在項目的正式版本中找到,該版本通過Sourceforge分發。
被發現的後門 存在於1.882年至1.921年的版本中 包含(包括git存儲庫中沒有帶有後門的代碼),並且允許您在未經身份驗證的情況下遠程執行具有root特權的系統上的任意shell命令。
關於Webmin
對於那些不了解Webmin的人 他們應該知道 這是用於控制Linux系統的基於Web的控制面板。 提供直觀且易於使用的界面來管理服務器。 Webmin的最新版本也可以在Windows系統上安裝和運行。
借助Webmin,您可以即時更改常用的軟件包設置,包括Web服務器和數據庫,以及管理用戶,組和軟件包。
Webmin允許用戶查看正在運行的進程以及有關已安裝軟件包的詳細信息, 管理系統日誌文件,編輯網絡接口的配置文件,添加防火牆規則,配置時區和系統時鐘,通過CUPS添加打印機,列出已安裝的Perl模塊,配置SSH或服務器DHCP以及DNS域記錄管理器。
Webmin 1.930到達消除後門
Webmin 1.930的新版本已發布,以解決遠程執行代碼漏洞。 此漏洞具有公開可用的漏洞利用模塊, 勞闕 使許多虛擬UNIX管理系統面臨風險。
安全公告表明,默認配置下的1.890版本(CVE-2019-15231)容易受攻擊,而其他受影響的版本則要求啟用選項“更改用戶密碼”。
關於漏洞
攻擊者可以向密碼重置請求表單頁面發送惡意的http請求。 注入代碼並接管webmin Web應用程序。 根據漏洞報告,攻擊者不需要有效的用戶名或密碼即可利用此漏洞。
此特徵的存在意味著e自2018年XNUMX月以來,Webmin中可能已經存在此漏洞。
攻擊需要Webmin使用開放的網絡端口 並在該功能的Web界面中進行活動以更改過時的密碼(默認情況下,此密碼在1.890年版本中已啟用,但在其他版本中已禁用)。
此問題已在1.930更新中修復.
該問題是在password_change.cgi腳本中發現的, 其中unix_crypt函數用於驗證在Web表單中輸入的舊密碼,該舊密碼發送從用戶收到的密碼而不會轉義特殊字符。
在git儲存庫中, 此函數是Crypt :: UnixCrypt模塊上的鏈接 並不危險,但是在代碼附帶的sourceforge文件中,調用了一個代碼,該代碼可以直接訪問/ etc / shadow,但使用shell構造即可。
要進行攻擊,只需指示符號«|» 在舊密碼字段中 並且以下代碼將以root特權在服務器上運行。
根據Webmin開發人員的聲明, 由於項目基礎架構遭到破壞,惡意代碼正在被替換。
詳細信息尚未公佈,因此尚不清楚該黑客是否僅限於控制Sourceforge的帳戶,或者是否影響了Webmin的組裝和開發基礎架構的其他元素。
該問題還影響了Usermin的版本。 當前,所有引導文件都是從Git重建的。