Dalam pakejnya , yang menyediakan alatan untuk pengurusan pelayan jauh, pintu belakang (), terdapat dalam binaan projek rasmi, melalui Sourceforge dan di tapak utama. Pintu belakang hadir dalam binaan dari 1.882 hingga 1.921 inklusif (tiada kod dengan pintu belakang dalam repositori git) dan membenarkan arahan shell sewenang-wenangnya dilaksanakan dari jauh tanpa pengesahan pada sistem dengan hak root.
Untuk serangan, cukup untuk mempunyai port rangkaian terbuka dengan Webmin dan mengaktifkan fungsi untuk menukar kata laluan lapuk dalam antara muka web (didayakan secara lalai dalam binaan 1.890, tetapi dilumpuhkan dalam versi lain). Masalah Π² 1.930. Sebagai langkah sementara untuk menyekat pintu belakang, cuma alih keluar tetapan βpasswd_mode=β daripada fail konfigurasi /etc/webmin/miniserv.conf. Bersedia untuk ujian .
Masalahnya ialah dalam skrip password_change.cgi, untuk menyemak kata laluan lama yang dimasukkan dalam borang web fungsi unix_crypt, yang kata laluan yang diterima daripada pengguna dihantar tanpa melepaskan aksara khas. Dalam repositori git fungsi ini dililitkan pada modul Crypt:: UnixCrypt dan tidak berbahaya, tetapi arkib kod yang disediakan pada tapak web Sourceforge memanggil kod yang mengakses /etc/shadow secara langsung, tetapi melakukan ini menggunakan binaan shell. Untuk menyerang, hanya masukkan simbol "|" dalam medan dengan kata laluan lama. dan kod berikut selepas ia akan dilaksanakan dengan hak root pada pelayan.
Pada Pembangun webmin, kod berniat jahat telah dimasukkan akibat daripada infrastruktur projek itu dikompromi. Butiran masih belum diberikan, jadi tidak jelas sama ada penggodaman itu terhad untuk mengawal akaun Sourceforge atau menjejaskan elemen pembangunan dan pembinaan Webmin yang lain. Kod hasad telah wujud dalam arkib sejak Mac 2018. Masalahnya turut terjejas . Pada masa ini, semua arkib muat turun dibina semula daripada Git.
Sumber: opennet.ru