ProHoster > Π‘Π»ΠΎΠ³ > wararka internetka > Albaabka dambe ayaa laga helay Webmin kaas oo u oggolaanaya gelitaanka fog ee xuquuqda xididka.

Albaabka dambe ayaa laga helay Webmin kaas oo u oggolaanaya gelitaanka fog ee xuquuqda xididka.

Xirmada Webmin, kaas oo siiya agabka maaraynta server-ka fog, la aqoonsaday albaabka dambe (CVE-2019-15107), laga helay dhismeyaasha mashruuca rasmiga ah, loo qaybiyey via Sourceforge iyo lagu taliyay goobta ugu weyn. Albaabka dambe waxa uu ku jiray dhismayaal laga soo bilaabo 1.882 ilaa 1.921 oo loo dhan yahay (ma jirin kood ku leh albaabka dambe ee kaydka git) oo waxa loo oggolaaday amarada qolofka aan sharciga ahayn in lagu fuliyo meel fog iyada oo aan la xaqiijin nidaamka leh xuquuqda xididka.

Weerarka, waa ku filan tahay inaad haysato deked shabakad furan oo leh Webmin oo aad dhaqaajiso shaqada si aad u bedesho ereyada sirta ah ee duugoobay ee interface-ka webka (oo ay awood u leedahay in ay dhisto 1.890, laakiin noocyada kale naafada ah). Dhib meesha laga saaray Π² cusbooneysiinta 1.930. Qiyaasta ku meel gaadhka ah ee lagu xidho albaabka dambe, si fudud uga saar "passwd_mode=" dejinta faylka qaabeynta /etc/webmin/miniserv.conf. Loo diyaariyey imtixaan ka faa'iidayso prototype.

Dhibaatadu waxay ahayd la ogaaday in the password_change.cgi script, kaas oo lagu hubinayo erayga sirta ah ee hore ee lagu soo galiyay foomka shabakada waxaa loo isticmaalaa shaqada unix_crypt, kaas oo erayga sirta ah ee laga helay isticmaaluhu la gudbiyo iyada oo aan laga baxsanayn xarfaha gaarka ah. Ku jira kaydka git shaqadan Waa ku duudduubay Crypt :: UnixCrypt module mana aha khatar, laakiin kaydka koodka ee lagu bixiyo degelka Sourceforge wuxuu wacaa koodka si toos ah u gala /etc/shadow, laakiin tan sameeya iyadoo la adeegsanayo qaab dhismeed. Si aad u weerarto, kaliya geli calaamadda "|" ee goobta dhexdeeda adigoo wata eraygii hore. iyo koodhka soo socda ka dib waxaa lagu fulin doonaa xuquuqda xididka ee serverka.

By bayaan Soo-saareyaasha Webmin-ka, koodka xaasidnimada leh ayaa la geliyey natiijada kaabeyaasha mashruuca oo la jabiyay. Faahfaahinta ilaa hadda lama bixin, sidaa awgeed ma cadda in jabsigani uu ku koobnaa la-wareejinta akoonka Sourceforge ama uu saameeyay qaybaha kale ee horumarinta Webmin iyo dhisidda kaabayaasha. Koodhka xaasidnimadu wuxuu ku jiray kaydka ilaa Maarso 2018. Dhibaatadu waxay sidoo kale saamaysay Usermin dhisay. Hadda, dhammaan kaydadka la soo dejiyo ayaa dib looga dhisay Git.

Source: opennet.ru

Add a comment