á¡áá¯ááºáá²ááŸá¬ Webmin áá«á¡áá±ážááááºážáá¬áᬠá
á®áá¶ááá·áºááœá²ááŸá¯á¡ááœáẠáááááá¬áá»á¬ážááᯠáá¶á·ááá¯ážáá±ážáá±á¬á áá±á¬áºáá¯ááºáá²á·áááºá á¡áá±á¬ááºáá¶áá«áž (CVE-2019-15107) ááá¬ážááẠááá±á¬áá»áẠááœá± ááŸá¬áá«áá²á· áá±á¬ááºá ááŒáá·áºáá±áááºá Sourceforge ááŸáá·áº á¡ááŒá¶ááŒá¯áááºá áááºáááá¯ááºáá±á«áºááœááºá backdoor ááẠ1.882 á០1.921 á¡áááá«áááºáá±á¬ builds áá»á¬ážááœáẠááŸááá±ááẠ(git repository ááœáẠbackdoor áá«ááá·áºáá¯ááºáááŸááá«) ááŸáá·áº root áá¯ááºááá¯ááºááœáá·áºááŸááá±á¬ á
áá
áºáá
áºáá¯ááœáẠá¡áá±á¬ááºá¡áá¬ážáááá¯ááºáá¯á¶áá² arbitrary shell command áá»á¬ážááᯠá¡áá±ážááŸáá¯ááºáá±á¬ááºááẠááœáá·áºááŒá¯áá¬ážáááºá
ááá¯ááºááá¯ááºááŸá¯áá
áºáá¯á¡ááœááºá Webmin ááŒáá·áº ááœáá·áºáá¬ážáá±á¬ ááœááºáááºáá±á«ááºáá
áºáá¯ááŸáááẠáá¯á¶áá±á¬ááºááŒá®áž áááºá¡ááºáá¬áá±á·á
ááœáẠáá±ááºááá®áá±á¬á·áá±á¬ á
áá¬ážááŸááºáá»á¬ážááᯠááŒá±á¬ááºážáá²áááºá¡ááœáẠáá¯ááºáá±á¬ááºáá»ááºááᯠá
áááºá¡áá¯á¶ážááŒá¯ááá¯ááºááẠ(build 1.890 ááœáẠáá°áááºážá¡ááá¯ááºáž ááœáá·áºáá¬ážáá±á¬áºáááºáž á¡ááŒá¬ážáá¬ážááŸááºážáá»á¬ážááœáẠááááºáá¬ážáááº)á ááŒá¿áᬠáááºáá¯ááºáá¬ážáááºá в ááœááºážáᶠá,áááá Backdoor ááá¯ááááºááá¯á·ááẠáá¬áá®á¡ááá¯ááºážá¡áá¬áá
áºáá¯á¡áá±ááŒáá·áºá "passwd_mode=" áááºáááºááᯠ/etc/webmin/miniserv.conf configuration file á០áááºááŸá¬ážááá¯ááºáá«á á
ááºážáááºáááºááŒááºáááºáá¬ážáááºá exploit ááá°áá¬áá¯á¶á
á¶.
ááŒá¿áá¬ááŒá
áºáá²á·áááºá ááŸá¬ááœá±ááœá±á·ááŸááá²á·ááẠáááºáá±á¬ááºááœáẠááá·áºááœááºážáá¬ážáá±á¬ á
áá¬ážááŸááºáá±á¬ááºážááᯠá
á
áºáá±ážááẠpassword_change.cgi script ááœááºá á¡áá¯á¶ážááŒá¯ááẠá¡áá¯á¶ážááŒá¯áá°áá¶ááŸáááŸááá±á¬á
áá¬ážááŸááºááᯠá¡áá°ážá
á¬áá¯á¶ážáá»á¬ážáááœááºáá² áá»á±á¬áºááŒááºáá±ážáá±á¬ unix_crypt áá¯ááºáá±á¬ááºáá»ááºá git repository ááœáẠá€áá¯ááºáá±á¬ááºáá»áẠáá«áá¬ááŒá
áºáá«ááẠCrypt::UnixCrypt module ááᯠáááºáááºááẠáá
áºáááºáá¬ážááŒá®áž á¡áá¹ááá¬ááºáááŸááá±á¬áºáááºáž Sourceforge áááºááá¯ááºááœáẠáá±ážáá¬ážáá±á¬ áá¯ááºááŸááºáááºážááẠ/etc/shadow ááᯠááá¯ááºááá¯ááºáááºáá±á¬ááºááá·áº áá¯ááºááᯠáá±á«áºáá±á¬áºáááºáž shell construct ááᯠá¡áá¯á¶ážááŒá¯á áááºážááᯠáá¯ááºáá±á¬ááºáááºá ááá¯ááºááá¯ááºáááºá á
áá¬ážááŸááºáá±á¬ááºážááŒáá·áº á¡ááœááºááœáẠáááºá¹áá±á â|â ááᯠááá¯ááºááá·áºáá«á ááŒá®ážáá»áŸáẠá¡á±á¬ááºáá«áá¯ááºááᯠáá¬áá¬áá±á«áºááœáẠroot áá¯ááºááá¯ááºááœáá·áºááŒáá·áº áá¯ááºáá±á¬ááºáááºááŒá
áºáááºá
á¡áá±á«áº ááŒá±áá¬áá»áẠWebmin áá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬ážá ááá±á¬áá»ááºá á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááᯠááááá¯ááºááŸá¯ááŒá±á¬áá·áº á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠááá·áºááœááºážáá²á·áááºá á¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááá±á¬áºááŒáá¬ážáá±ážáá±á¬ááŒá±á¬áá·áº áááºááºááẠSourceforge á¡áá±á¬áá·áºááᯠááááºážáá»á¯ááºááẠááá·áºáááºáá¬ážááŒááºáž ááá¯á·ááá¯áẠWebmin ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯ááŸáá·áº á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶áááºáá±á¬ááºááŒááºážááá¯ááºáᬠá¡ááŒá¬ážá¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠááááá¯ááºááŸá¯ááŸááááŸá ááŸááºážááŸááºážáááºážáááºážáááááá±ážáá«á á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááẠ2018 áá¯ááŸá
Ạáááºáááááºážá áá±á¬áºááœááºážááá¯ááºáá»á¬ážááœáẠááŸááá±áá«áááºá ááŒá¿áá¬áááºáž ááááá¯ááºáááºá Usermin áááºáá±á¬ááºáááºá. áááºááŸáááœááºá áá±á«ááºážáá¯ááºááŸááºáááºážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠGit á០ááŒááºáááºáááºáá±á¬ááºáá¬ážáá«áááºá
source: opennet.ru