En la pakaĵo , kiu disponigas ilojn por fora servila administrado, malantaŭa pordo (), trovita en la oficialaj projektokonstruaĵoj, per Sourceforge kaj sur la ĉefa retejo. La malantaŭa pordo ĉeestis en konstruoj de 1.882 ĝis 1.921 inkluzive (ne estis kodo kun la malantaŭa pordo en la git-deponejo) kaj permesis al arbitraj ŝelkomandoj esti ekzekutitaj malproksime sen aŭtentigo sur sistemo kun radikrajtoj.
Por atako, sufiĉas havi malfermitan retan havenon kun Webmin kaj aktivigi la funkcion por ŝanĝi malnoviĝintajn pasvortojn en la retinterfaco (defaŭlte ebligita en konstruoj 1.890, sed malŝaltita en aliaj versioj). Problemo в 1.930. Kiel provizora rimedo por bloki la malantaŭan pordon, simple forigu la agordon "passwd_mode=" el la agorda dosiero /etc/webmin/miniserv.conf. Preta por testado .
La problemo estis en la skripto password_change.cgi, en kiu kontroli la malnovan pasvorton enigitan en la retformularo la funkcio unix_crypt, al kiu la pasvorto ricevita de la uzanto estas pasita sen eskapi specialajn signojn. En la git-deponejo ĉi tiu funkcio envolvita ĉirkaŭ la modulo Crypt::UnixCrypt kaj ne estas danĝera, sed la kodarkivo provizita en la retejo de Sourceforge vokas kodon kiu rekte aliras /etc/shadow, sed faras tion uzante ŝelkonstruaĵon. Por ataki, simple enigu la simbolon "|" en la kampo kun la malnova pasvorto. kaj la sekva kodo post ĝi estos ekzekutita kun radikrajtoj sur la servilo.
Por Webmin-programistoj, la malica kodo estis enigita kiel rezulto de la infrastrukturo de la projekto kompromitita. Detaloj ankoraŭ ne estis disponigitaj, do ne estas klare ĉu la hako estis limigita al regado de la Sourceforge-konto aŭ influis aliajn elementojn de la disvolviĝo kaj konstruado de Webmin-infrastrukturo. La malica kodo ĉeestas en la arkivoj ekde marto 2018. La problemo ankaŭ influis . Nuntempe, ĉiuj elŝutaj arkivoj estas rekonstruitaj de Git.
fonto: opennet.ru