ಪ್ಯಾಕೇಜಿನಲ್ಲಿ , ಇದು ರಿಮೋಟ್ ಸರ್ವರ್ ನಿರ್ವಹಣೆಗೆ ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಹಿಂಬಾಗಿಲು (), ಅಧಿಕೃತ ಯೋಜನೆಯ ನಿರ್ಮಾಣಗಳಲ್ಲಿ ಕಂಡುಬರುತ್ತದೆ, ಸೋರ್ಸ್ಫೋರ್ಜ್ ಮೂಲಕ ಮತ್ತು ಮುಖ್ಯ ಸೈಟ್ನಲ್ಲಿ. ಹಿಂಬಾಗಿಲು 1.882 ರಿಂದ 1.921 ರವರೆಗಿನ ಬಿಲ್ಡ್ಗಳಲ್ಲಿ ಇತ್ತು (ಜಿಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಹಿಂಬಾಗಿಲಿನೊಂದಿಗೆ ಯಾವುದೇ ಕೋಡ್ ಇರಲಿಲ್ಲ) ಮತ್ತು ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ದೃಢೀಕರಣವಿಲ್ಲದೆಯೇ ಅನಿಯಂತ್ರಿತ ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ರಿಮೋಟ್ ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
ದಾಳಿಗಾಗಿ, ವೆಬ್ಮಿನ್ನೊಂದಿಗೆ ತೆರೆದ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ ಹೊಂದಲು ಮತ್ತು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬದಲಾಯಿಸುವ ಕಾರ್ಯವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸಾಕು (ಬಿಲ್ಡ್ಸ್ 1.890 ನಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಇತರ ಆವೃತ್ತಿಗಳಲ್ಲಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ). ಸಮಸ್ಯೆ в 1.930. ಹಿಂಬಾಗಿಲನ್ನು ನಿರ್ಬಂಧಿಸಲು ತಾತ್ಕಾಲಿಕ ಕ್ರಮವಾಗಿ, "passwd_mode=" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು /etc/webmin/miniserv.conf ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಿಂದ ತೆಗೆದುಹಾಕಿ. ಪರೀಕ್ಷೆಗೆ ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ .
ಸಮಸ್ಯೆಯಾಗಿತ್ತು password_change.cgi ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ, ವೆಬ್ ಫಾರ್ಮ್ನಲ್ಲಿ ನಮೂದಿಸಿದ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು unix_crypt ಕಾರ್ಯ, ಬಳಕೆದಾರರಿಂದ ಪಡೆದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ವಿಶೇಷ ಅಕ್ಷರಗಳಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳದೆ ರವಾನಿಸಲಾಗುತ್ತದೆ. ಜಿಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಈ ಕಾರ್ಯ Crypt::UnixCrypt ಮಾಡ್ಯೂಲ್ನ ಸುತ್ತಲೂ ಸುತ್ತಿಹಾಕಲಾಗಿದೆ ಮತ್ತು ಅಪಾಯಕಾರಿ ಅಲ್ಲ, ಆದರೆ Sourceforge ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಒದಗಿಸಲಾದ ಕೋಡ್ ಆರ್ಕೈವ್ ನೇರವಾಗಿ /etc/shadow ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಕೋಡ್ ಅನ್ನು ಕರೆಯುತ್ತದೆ, ಆದರೆ ಇದನ್ನು ಶೆಲ್ ರಚನೆಯನ್ನು ಬಳಸಿ ಮಾಡುತ್ತದೆ. ದಾಳಿ ಮಾಡಲು, ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಕ್ಷೇತ್ರದಲ್ಲಿ "|" ಚಿಹ್ನೆಯನ್ನು ನಮೂದಿಸಿ. ಮತ್ತು ಕೆಳಗಿನ ಕೋಡ್ ಅನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಬೈ ವೆಬ್ಮಿನ್ ಡೆವಲಪರ್ಗಳು, ಯೋಜನೆಯ ಮೂಲಸೌಕರ್ಯವು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಪರಿಣಾಮವಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲಾಯಿತು. ವಿವರಗಳನ್ನು ಇನ್ನೂ ಒದಗಿಸಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ಹ್ಯಾಕ್ ಸೋರ್ಸ್ಫೋರ್ಜ್ ಖಾತೆಯ ನಿಯಂತ್ರಣಕ್ಕೆ ಸೀಮಿತವಾಗಿದೆಯೇ ಅಥವಾ ವೆಬ್ಮಿನ್ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿರ್ಮಿಸುವ ಇತರ ಅಂಶಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿದೆಯೇ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಮಾರ್ಚ್ 2018 ರಿಂದ ಆರ್ಕೈವ್ನಲ್ಲಿದೆ. ಸಮಸ್ಯೆಯೂ ಪರಿಣಾಮ ಬೀರಿತು . ಪ್ರಸ್ತುತ, ಎಲ್ಲಾ ಡೌನ್ಲೋಡ್ ಆರ್ಕೈವ್ಗಳನ್ನು Git ನಿಂದ ಮರುನಿರ್ಮಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru