ProHoster > Blog > internet nuus > Agterdeur gevind in Webmin en laat afgeleë worteltoegang toe

Agterdeur gevind in Webmin en laat afgeleë worteltoegang toe

In die pakkie Webmin, wat gereedskap vir afgeleë bedienerbestuur verskaf, geopenbaar agterdeur (CVE-2019-15107), gevind in die amptelike projekbou, versprei via Sourceforge en aanbeveel op die hoofterrein. Die agterdeur was teenwoordig in geboue van 1.882 tot 1.921 insluitend (daar was geen kode met die agterdeur in die git-bewaarplek nie) en het toegelaat dat arbitrêre dopopdragte op afstand uitgevoer word sonder verifikasie op 'n stelsel met wortelregte.

Vir 'n aanval is dit genoeg om 'n oop netwerkpoort met Webmin te hê en die funksie vir die verandering van verouderde wagwoorde in die webkoppelvlak te aktiveer (by verstek geaktiveer in builds 1.890, maar gedeaktiveer in ander weergawes). Probleem uitgeskakel в update 1.930. As 'n tydelike maatreël om die agterdeur te blokkeer, verwyder eenvoudig die “passwd_mode=” instelling van die /etc/webmin/miniserv.conf konfigurasielêer. Voorbereid vir toetsing prototipe te ontgin.

Die probleem was ontdek in die password_change.cgi-skrip, waarin die ou wagwoord wat in die webvorm ingevoer is, nagegaan moet word word gebruik die unix_crypt-funksie, waarna die wagwoord wat van die gebruiker ontvang is, deurgegee word sonder om spesiale karakters te ontsnap. In die git-bewaarplek hierdie funksie is om die Crypt::UnixCrypt-module toegedraai en is nie gevaarlik nie, maar die kode-argief wat op die Sourceforge-webwerf verskaf word, roep kode wat direk toegang tot /etc/shadow verkry, maar doen dit deur 'n dopkonstruksie te gebruik. Om aan te val, spesifiseer net die simbool "|" in die veld met die ou wagwoord. en die volgende kode daarna sal uitgevoer word met wortelregte op die bediener.

Op aansoek Webmin-ontwikkelaars, die kwaadwillige kode is ingevoeg as gevolg van die projek se infrastruktuur wat gekompromitteer is. Besonderhede is nog nie verskaf nie, so dit is nie duidelik of die hack beperk was tot die neem van beheer van die Sourceforge-rekening of ander elemente van die Webmin-ontwikkeling en bou-infrastruktuur beïnvloed het nie. Die kwaadwillige kode is sedert Maart 2018 in die argiewe teenwoordig. Die probleem het ook geraak Usermin bou. Tans word alle aflaai-argiewe vanaf Git herbou.

Bron: opennet.ru

Voeg 'n opmerking