Am Pak , déi Tools fir Remote Server Management ubitt, Hannerdier (), fonnt an den offiziellen Projet baut, iwwer Sourceforge an op der Haaptrei Site. D'Backdoor war präsent a Builds vun 1.882 bis 1.921 inklusiv (et war kee Code mat der Backdoor am Git Repository) an huet erlaabt datt arbiträr Shell Kommandoen op afstand ausgefouert ginn ouni Authentifikatioun op engem System mat Root Rechter.
Fir en Attack ass et genuch fir en oppenen Netzwierkport mat Webmin ze hunn an d'Funktioun z'aktivéieren fir verouderte Passwierder an der Webinterface z'änneren (Standard aktivéiert a Builds 1.890, awer an anere Versioune behënnert). Problem в 1.930. Als temporär Moossnam fir d'Backdoor ze blockéieren, läscht einfach d'Astellung "passwd_mode=" aus der /etc/webmin/miniserv.conf Konfiguratiounsdatei. Preparéiert fir Testen .
De Problem war am password_change.cgi Skript, an deem dat aalt Passwuert am Webformular agefouert gëtt d'unix_crypt Funktioun, un déi d'Passwuert, déi vum Benotzer kritt gëtt, weiderginn ouni speziell Zeechen ze entkommen. Am Git Repository dës Funktioun ëm de Crypt :: UnixCrypt Modul gewéckelt an ass net geféierlech, awer de Codearchiv, deen op der Sourceforge Websäit geliwwert gëtt, rifft Code deen direkt op /etc/shadow zougräift, awer mécht dat mat engem Shellkonstruktioun. Fir Ugrëff, gitt just d'Symbol "|" am Feld mat der al Passwuert. an de folgende Code nodeems se mat root Rechter op de Server ausgefouert ginn.
By Webmin Entwéckler, de béisaarteg Code gouf agefouert als Resultat vun der Infrastruktur vum Projet kompromittéiert. Detailer sinn nach net geliwwert ginn, also ass et net kloer ob den Hack limitéiert war fir d'Kontroll iwwer de Sourceforge Kont ze huelen oder aner Elementer vun der Webmin Entwécklung beaflosst an Infrastruktur ze bauen. De béise Code ass zënter Mäerz 2018 an den Archiven präsent. De Problem huet och betraff . De Moment sinn all Downloadarchiven aus Git nei opgebaut.
Source: opennet.ru