ProHoster > Blog > vaovao amin'ny Internet > Nisy varavarana ambadika hita tao amin'ny Webmin izay mamela ny fidirana lavitra miaraka amin'ny zo fototra.

Nisy varavarana ambadika hita tao amin'ny Webmin izay mamela ny fidirana lavitra miaraka amin'ny zo fototra.

Ao amin'ny fonosana Webmin, izay manome fitaovana ho an'ny fitantanana mpizara lavitra, fantatra varavarana any aoriana (CVE-2019-15107), hita ao amin'ny fananganana tetikasa ofisialy, nozaraina avy amin'ny Sourceforge sy soso-kevitra amin'ny tranokala lehibe. Ny backdoor dia teo amin'ny fananganana avy amin'ny 1.882 ka hatramin'ny 1.921 inclusive (tsy misy code miaraka amin'ny backdoor ao amin'ny git repository) ary namela baiko akorandriaka tsy misy dikany hotanterahina lavitra tsy misy fanamarinana amin'ny rafitra misy zo fototra.

Ho an'ny fanafihana dia ampy ny manana seranan-tserasera misokatra miaraka amin'ny Webmin ary manetsika ny fiasa hanovana ny tenimiafina efa lany andro ao amin'ny interface Internet (azo atao ny default amin'ny fananganana 1.890, saingy kilemaina amin'ny dikan-teny hafa). OLANA intsony Π² fanavaozana 1.930. Ho fepetra vonjimaika hanakanana ny varavarana ambadika, esory tsotra izao ny filaharana β€œpasswd_mode=” ao amin'ny fisie /etc/webmin/miniserv.conf. Voaomana ho amin'ny fitsapana manararaotra ny prototype.

Ny olana dia hita ao amin'ny script password_change.cgi, izay hijerena ny tenimiafina taloha niditra tao amin'ny endrika tranonkala ampiasaina ny fiasan'ny unix_crypt, izay ampandalovina ny tenimiafina azo avy amin'ny mpampiasa nefa tsy mandositra tarehintsoratra manokana. Ao amin'ny tahiry git ity fiasa ity ny mihodidina ny maody Crypt :: UnixCrypt ary tsy mampidi-doza, fa ny arisiva kaody omena ao amin'ny tranokala Sourceforge dia miantso kaody izay miditra mivantana /etc/shadow, fa manao izany amin'ny fampiasana akorandriaka. Raha hanafika dia ampidiro fotsiny ny marika "|" ao amin'ny saha miaraka amin'ny tenimiafina taloha. ary ity kaody manaraka ity aorian'izany dia hovonoina miaraka amin'ny zo fototra amin'ny mpizara.

amin'ny fampiharana Ireo mpamorona Webmin, nampidirina ny kaody ratsy vokatry ny fanitsakitsahana ny fotodrafitrasa momba ny tetikasa. Tsy mbola nomena ny antsipiriany, noho izany dia tsy mazava raha voafetra amin'ny fifehezana ny kaonty Sourceforge ny hack na misy fiantraikany amin'ny singa hafa amin'ny fampandrosoana sy fananganana fotodrafitrasa Webmin. Ny kaody ratsy dia efa hita ao amin'ny arisiva nanomboka ny volana martsa 2018. Voakasika ihany koa ny olana Usermin manorina. Amin'izao fotoana izao, ny arisiva fampidinana rehetra dia natsangana avy amin'ny Git.

Source: opennet.ru

Add a comment