ProHoster > Blog > litaba tsa inthanete > Ho fumanoe backdoor ho Webmin e lumellang phihlello e hole ka litokelo tsa metso.

Ho fumanoe backdoor ho Webmin e lumellang phihlello e hole ka litokelo tsa metso.

Ka har'a sephutheloana web min, e fanang ka lisebelisoa tsa taolo ea seva e hole, tsebahatsoa lemati le ka morao (CVE-2019-15107), e fumanoang mohahong oa semmuso oa projeke, ajoa ka Sourceforge le kgothaletswa setšeng se seholo. Monyako o ka morao o ne o le teng ka har'a meaho ho tloha ho 1.882 ho isa ho 1.921 e kenyellelitsoeng (ho ne ho se na khoutu e nang le backdoor sebakeng sa polokelo ea git) mme e lumelletse hore litaelo tsa likhetla li phethiloe hole ntle le netefatso ho sistimi e nang le litokelo tsa metso.

Bakeng sa tlhaselo, ho lekane ho ba le boema-kepe ba marang-rang bo bulehileng le Webmin le ho kenya tšebetsong ts'ebetso ea ho fetola liphasewete tse siiloeng ke nako ka har'a sehokelo sa marang-rang (e lumelletsoeng ka ho sa feleng ho haha ​​​​1.890, empa e holofalitsoe liphetolelong tse ling). Bothata felisitsoe в ntjhafatsa 1.930. E le tekanyo ea nakoana ea ho thibela ntlo e ka morao, tlosa feela "passwd_mode =" ho tloha ho file ea /etc/webmin/miniserv.conf. E lokiselitsoe tlhahlobo sebelisa mohlala.

Bothata e ne e le sibollotsoe ho password_change.cgi script, eo ho eona u ka hlahlobang phasewete ea khale e kentsoeng ka foromo ea webo e sebelisoa ts'ebetso ea unix_crypt, eo phasewete e amohetsoeng ho tsoa ho mosebelisi e fetisetsoang ntle le ho phonyoha litlhaku tse ikhethang. Sebakeng sa polokelo ea git mosebetsi ona ho e phuthetsoe ho pota Crypt :: UnixCrypt module mme ha e kotsi, empa polokelo ea khoutu e fanoeng sebakeng sa marang-rang sa Sourceforge e kenyang mohala ka ho toba /etc/shadow, empa e etsa sena ka ho haha ​​​​khetla. Ho hlasela, kenya feela letšoao "|" tšimong ka password ea khale. le khoutu e latelang ka mor'a hore e etsoe ka litokelo tsa metso ho seva.

Ka polelo Bahlahisi ba Webmin, khoutu e mpe e kentsoe ka lebaka la ho senyeha ha meaho ea morero. Lintlha ha li e-so fanoe, ka hona ha ho hlake hore na ho qhekella ho ne ho lekanyelitsoe ho laola akhaonto ea Sourceforge kapa ho ama likarolo tse ling tsa ntlafatso ea Webmin le ho haha ​​​​lisebelisoa. Khoutu e lonya esale e le teng polokelong ea litaba ho tloha ka Hlakubele 2018. Bothata le bona bo ile ba ameha Usermin e haha. Hajoale, li-archive tsohle tsa download li hahuoa bocha ho tsoa ho Git.

Source: opennet.ru

Eketsa ka tlhaloso