Paketean , urruneko zerbitzariaren kudeaketarako tresnak eskaintzen dituena, atzeko atea (), proiektuaren eraikuntza ofizialetan aurkituta, Sourceforge bidez eta gune nagusian. Atzeko atea 1.882-tik 1.921-era biak barne (ez zegoen koderik atzeko atearekin git biltegian) eta shell komando arbitrarioak urrunetik exekutatzeko aukera ematen zuen autentifikaziorik gabe erro-eskubideak dituen sistema batean.
Eraso baterako, nahikoa da Webmin-ekin sareko ataka irekia izatea eta web-interfazean zaharkitutako pasahitzak aldatzeko funtzioa aktibatzea (lehenespenez gaituta 1.890 build-etan, baina beste bertsio batzuetan desgaituta). Arazoa Π² 1.930. Atzeko atea blokeatzeko aldi baterako neurri gisa, kendu "passwd_mode=" ezarpena /etc/webmin/miniserv.conf konfigurazio fitxategitik. Proba egiteko prestatua .
Arazoa zen password_change.cgi scriptean, web-inprimakian sartutako pasahitz zaharra egiaztatzeko unix_crypt funtzioa, erabiltzailearengandik jasotako pasahitza karaktere berezietatik ihes egin gabe pasatzen zaiona. Git biltegian funtzio hau Crypt::UnixCrypt moduluaren inguruan bilduta eta ez da arriskutsua, baina Sourceforge webgunean eskaintzen den kode artxiboak zuzenean /etc/shadow atzitzen duen kodea deitzen du, baina shell eraikuntza bat erabiliz egiten du. Erasotzeko, pasahitz zaharra duen eremuan β|β ikurra sartu besterik ez dago. eta ondorengo kodea zerbitzarian root eskubideekin exekutatuko da.
On Webmin garatzaileei, kode gaiztoa txertatu zen proiektuaren azpiegitura arriskuan egotearen ondorioz. Xehetasunak oraindik ez dira eman, beraz, ez dago argi hackea Sourceforge kontuaren kontrola hartzera mugatu zen edo Webmin garapenaren eta eraikitzeko azpiegituraren beste elementu batzuk eragin zituen. Kode gaiztoa 2018ko martxotik dago artxiboetan. Arazoak ere eragina izan zuen . Une honetan, deskargaren artxibo guztiak Git-etik berreraiki dira.
Iturria: opennet.ru