I paketet , som tillhandahåller verktyg för fjärrserverhantering, bakdörr (), som finns i de officiella projektbyggena, via Sourceforge och på huvudsidan. Bakdörren fanns i versioner från 1.882 till och med 1.921 (det fanns ingen kod med bakdörren i git-förvaret) och tillät att godtyckliga skalkommandon exekveras på distans utan autentisering på ett system med roträttigheter.
För en attack räcker det med en öppen nätverksport med Webmin och aktivera funktionen för att ändra föråldrade lösenord i webbgränssnittet (aktiverat som standard i builds 1.890, men inaktiverat i andra versioner). Problem в 1.930. Som en tillfällig åtgärd för att blockera bakdörren, ta helt enkelt bort inställningen “passwd_mode=” från konfigurationsfilen /etc/webmin/miniserv.conf. Förberedd för testning .
Problemet var i password_change.cgi-skriptet, där du kan kontrollera det gamla lösenordet som angetts i webbformuläret funktionen unix_crypt, till vilken lösenordet som tas emot från användaren skickas utan att specialtecken undkommer. I git-förrådet denna funktion lindad runt Crypt::UnixCrypt-modulen och är inte farlig, men kodarkivet som finns på Sourceforge-webbplatsen anropar kod som direkt kommer åt /etc/shadow, men gör detta med en skalkonstruktion. För att attackera, skriv bara in symbolen "|" i fältet med det gamla lösenordet. och följande kod kommer att exekveras med roträttigheter på servern.
På Webmin-utvecklare, den skadliga koden infogades som ett resultat av att projektets infrastruktur äventyrades. Detaljer har ännu inte lämnats, så det är inte klart om hacket var begränsat till att ta kontroll över Sourceforge-kontot eller påverkade andra delar av Webmins utveckling och bygginfrastruktur. Den skadliga koden har funnits i arkiven sedan mars 2018. Problemet påverkade också . För närvarande är alla nedladdningsarkiv byggda om från Git.
Källa: opennet.ru