Paketdə serverin uzaqdan idarə edilməsi üçün alətlər təqdim edən, arxa qapı (), rəsmi layihə quruluşlarında tapıldı, Sourceforge vasitəsilə və əsas saytda. Arxa qapı 1.882-dən 1.921-ə qədər olan quruluşlarda mövcud idi (git repozitoriyada arxa qapı ilə kod yox idi) və kök hüquqları olan sistemdə autentifikasiya olmadan ixtiyari qabıq əmrlərinin uzaqdan icrasına icazə verdi.
Hücum üçün Webmin ilə açıq şəbəkə portuna sahib olmaq və veb-interfeysdə köhnəlmiş parolların dəyişdirilməsi funksiyasını aktivləşdirmək kifayətdir (default olaraq 1.890 quruluşunda aktivdir, lakin digər versiyalarda qeyri-aktivdir). Problem в 1.930. Arxa qapını bloklamaq üçün müvəqqəti tədbir olaraq, sadəcə olaraq /etc/webmin/miniserv.conf konfiqurasiya faylından “passwd_mode=” parametrini çıxarın. Sınaq üçün hazırlanmışdır .
Problem onda idi parol_change.cgi skriptində, veb formada daxil edilmiş köhnə parolu yoxlamaq üçün istifadəçidən alınan parolun xüsusi simvollardan qaçmadan ötürüldüyü unix_crypt funksiyası. Git deposunda bu funksiya Crypt::UnixCrypt modulunun ətrafına sarılır və təhlükəli deyil, lakin Sourceforge veb saytında təqdim olunan kod arxivi birbaşa /etc/shadow-a daxil olan kodu çağırır, lakin bunu qabıq konstruksiyasından istifadə edərək edir. Hücum etmək üçün köhnə parolun olduğu sahəyə “|” simvolunu daxil etmək kifayətdir. və ondan sonra aşağıdakı kod serverdə kök hüquqları ilə icra olunacaq.
Haqqında Webmin tərtibatçıları, zərərli kod layihənin infrastrukturunun dağıdılması nəticəsində daxil edilib. Təfərrüatlar hələ təqdim edilməyib, ona görə də sındırmanın Sourceforge hesabına nəzarəti ələ keçirməklə məhdudlaşdığı və ya Webmin inkişafının və infrastrukturun qurulmasının digər elementlərinə təsir etdiyi bəlli deyil. Zərərli kod 2018-ci ilin mart ayından arxivlərdə mövcuddur. Problem də təsir etdi . Hazırda bütün yükləmə arxivləri Git-dən yenidən qurulub.
Mənbə: opennet.ru