ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ರಿಮೋಟ್ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುವ ವೆಬ್ಮಿನ್ನಲ್ಲಿ ಹಿಂಬಾಗಿಲು ಕಂಡುಬಂದಿದೆ.
ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ರಿಮೋಟ್ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುವ ವೆಬ್ಮಿನ್ನಲ್ಲಿ ಹಿಂಬಾಗಿಲು ಕಂಡುಬಂದಿದೆ.
ಪ್ಯಾಕೇಜಿನಲ್ಲಿ ವೆಬ್ಮಿನ್, ಇದು ರಿಮೋಟ್ ಸರ್ವರ್ ನಿರ್ವಹಣೆಗೆ ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಗುರುತಿಸಲಾಗಿದೆ ಹಿಂಬಾಗಿಲು (CVE-2019-15107), ಅಧಿಕೃತ ಯೋಜನೆಯ ನಿರ್ಮಾಣಗಳಲ್ಲಿ ಕಂಡುಬರುತ್ತದೆ, ವಿತರಣೆ ಸೋರ್ಸ್ಫೋರ್ಜ್ ಮೂಲಕ ಮತ್ತು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಮುಖ್ಯ ಸೈಟ್ನಲ್ಲಿ. ಹಿಂಬಾಗಿಲು 1.882 ರಿಂದ 1.921 ರವರೆಗಿನ ಬಿಲ್ಡ್ಗಳಲ್ಲಿ ಇತ್ತು (ಜಿಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಹಿಂಬಾಗಿಲಿನೊಂದಿಗೆ ಯಾವುದೇ ಕೋಡ್ ಇರಲಿಲ್ಲ) ಮತ್ತು ರೂಟ್ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ದೃಢೀಕರಣವಿಲ್ಲದೆಯೇ ಅನಿಯಂತ್ರಿತ ಶೆಲ್ ಆಜ್ಞೆಗಳನ್ನು ರಿಮೋಟ್ ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
ದಾಳಿಗಾಗಿ, ವೆಬ್ಮಿನ್ನೊಂದಿಗೆ ತೆರೆದ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ ಹೊಂದಲು ಮತ್ತು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬದಲಾಯಿಸುವ ಕಾರ್ಯವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸಾಕು (ಬಿಲ್ಡ್ಸ್ 1.890 ನಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ, ಆದರೆ ಇತರ ಆವೃತ್ತಿಗಳಲ್ಲಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ). ಸಮಸ್ಯೆ ನಿವಾರಿಸಲಾಗಿದೆ в ನವೀಕರಿಸಲಾಗುತ್ತಿದೆ 1.930. ಹಿಂಬಾಗಿಲನ್ನು ನಿರ್ಬಂಧಿಸಲು ತಾತ್ಕಾಲಿಕ ಕ್ರಮವಾಗಿ, "passwd_mode=" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು /etc/webmin/miniserv.conf ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಿಂದ ತೆಗೆದುಹಾಕಿ. ಪರೀಕ್ಷೆಗೆ ಸಿದ್ಧಪಡಿಸಲಾಗಿದೆ ಮೂಲಮಾದರಿಯನ್ನು ಬಳಸಿಕೊಳ್ಳಿ.
ಸಮಸ್ಯೆಯಾಗಿತ್ತು ಪತ್ತೆಯಾಗಿದೆ password_change.cgi ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ, ವೆಬ್ ಫಾರ್ಮ್ನಲ್ಲಿ ನಮೂದಿಸಿದ ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ unix_crypt ಕಾರ್ಯ, ಬಳಕೆದಾರರಿಂದ ಪಡೆದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ವಿಶೇಷ ಅಕ್ಷರಗಳಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳದೆ ರವಾನಿಸಲಾಗುತ್ತದೆ. ಜಿಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಈ ಕಾರ್ಯ ಇದು Crypt::UnixCrypt ಮಾಡ್ಯೂಲ್ನ ಸುತ್ತಲೂ ಸುತ್ತಿಹಾಕಲಾಗಿದೆ ಮತ್ತು ಅಪಾಯಕಾರಿ ಅಲ್ಲ, ಆದರೆ Sourceforge ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಒದಗಿಸಲಾದ ಕೋಡ್ ಆರ್ಕೈವ್ ನೇರವಾಗಿ /etc/shadow ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಕೋಡ್ ಅನ್ನು ಕರೆಯುತ್ತದೆ, ಆದರೆ ಇದನ್ನು ಶೆಲ್ ರಚನೆಯನ್ನು ಬಳಸಿ ಮಾಡುತ್ತದೆ. ದಾಳಿ ಮಾಡಲು, ಹಳೆಯ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಕ್ಷೇತ್ರದಲ್ಲಿ "|" ಚಿಹ್ನೆಯನ್ನು ನಮೂದಿಸಿ. ಮತ್ತು ಕೆಳಗಿನ ಕೋಡ್ ಅನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಬೈ ಹೇಳಿಕೆ ವೆಬ್ಮಿನ್ ಡೆವಲಪರ್ಗಳು, ಯೋಜನೆಯ ಮೂಲಸೌಕರ್ಯವು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಪರಿಣಾಮವಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲಾಯಿತು. ವಿವರಗಳನ್ನು ಇನ್ನೂ ಒದಗಿಸಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ಹ್ಯಾಕ್ ಸೋರ್ಸ್ಫೋರ್ಜ್ ಖಾತೆಯ ನಿಯಂತ್ರಣಕ್ಕೆ ಸೀಮಿತವಾಗಿದೆಯೇ ಅಥವಾ ವೆಬ್ಮಿನ್ ಅಭಿವೃದ್ಧಿ ಮತ್ತು ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿರ್ಮಿಸುವ ಇತರ ಅಂಶಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿದೆಯೇ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಮಾರ್ಚ್ 2018 ರಿಂದ ಆರ್ಕೈವ್ನಲ್ಲಿದೆ. ಸಮಸ್ಯೆಯೂ ಪರಿಣಾಮ ಬೀರಿತು ಬಳಕೆದಾರ ನಿರ್ಮಿಸುತ್ತದೆ. ಪ್ರಸ್ತುತ, ಎಲ್ಲಾ ಡೌನ್ಲೋಡ್ ಆರ್ಕೈವ್ಗಳನ್ನು Git ನಿಂದ ಮರುನಿರ್ಮಿಸಲಾಗಿದೆ.