Ho fumanoe backdoor ho Webmin e lumellang phihlello e hole ka litokelo tsa metso.
Ka har'a sephutheloana web min, e fanang ka lisebelisoa tsa taolo ea seva e hole, tsebahatsoa lemati le ka morao (CVE-2019-15107), e fumanoang mohahong oa semmuso oa projeke, ajoa ka Sourceforge le kgothaletswa setšeng se seholo. Monyako o ka morao o ne o le teng ka har'a meaho ho tloha ho 1.882 ho isa ho 1.921 e kenyellelitsoeng (ho ne ho se na khoutu e nang le backdoor sebakeng sa polokelo ea git) mme e lumelletse hore litaelo tsa likhetla li phethiloe hole ntle le netefatso ho sistimi e nang le litokelo tsa metso.
Bakeng sa tlhaselo, ho lekane ho ba le boema-kepe ba marang-rang bo bulehileng le Webmin le ho kenya tšebetsong ts'ebetso ea ho fetola liphasewete tse siiloeng ke nako ka har'a sehokelo sa marang-rang (e lumelletsoeng ka ho sa feleng ho haha 1.890, empa e holofalitsoe liphetolelong tse ling). Bothata felisitsoe в ntjhafatsa 1.930. E le tekanyo ea nakoana ea ho thibela ntlo e ka morao, tlosa feela "passwd_mode =" ho tloha ho file ea /etc/webmin/miniserv.conf. E lokiselitsoe tlhahlobo sebelisa mohlala.
Bothata e ne e le sibollotsoe ho password_change.cgi script, eo ho eona u ka hlahlobang phasewete ea khale e kentsoeng ka foromo ea webo e sebelisoa ts'ebetso ea unix_crypt, eo phasewete e amohetsoeng ho tsoa ho mosebelisi e fetisetsoang ntle le ho phonyoha litlhaku tse ikhethang. Sebakeng sa polokelo ea git mosebetsi ona ho e phuthetsoe ho pota Crypt :: UnixCrypt module mme ha e kotsi, empa polokelo ea khoutu e fanoeng sebakeng sa marang-rang sa Sourceforge e kenyang mohala ka ho toba /etc/shadow, empa e etsa sena ka ho haha khetla. Ho hlasela, kenya feela letšoao "|" tšimong ka password ea khale. le khoutu e latelang ka mor'a hore e etsoe ka litokelo tsa metso ho seva.
Ka polelo Bahlahisi ba Webmin, khoutu e mpe e kentsoe ka lebaka la ho senyeha ha meaho ea morero. Lintlha ha li e-so fanoe, ka hona ha ho hlake hore na ho qhekella ho ne ho lekanyelitsoe ho laola akhaonto ea Sourceforge kapa ho ama likarolo tse ling tsa ntlafatso ea Webmin le ho haha lisebelisoa. Khoutu e lonya esale e le teng polokelong ea litaba ho tloha ka Hlakubele 2018. Bothata le bona bo ile ba ameha Usermin e haha. Hajoale, li-archive tsohle tsa download li hahuoa bocha ho tsoa ho Git.