ప్యాకేజీలో Webmin, ఇది రిమోట్ సర్వర్ నిర్వహణ కోసం సాధనాలను అందిస్తుంది, గుర్తించబడింది వెనుక తలుపు (CVE-2019-15107), అధికారిక ప్రాజెక్ట్ నిర్మాణాలలో కనుగొనబడింది, పంపిణీ చేయబడింది సోర్స్ఫోర్జ్ ద్వారా మరియు సిఫార్సు చేయబడింది ప్రధాన సైట్లో. బ్యాక్డోర్ 1.882 నుండి 1.921 వరకు బిల్డ్లలో ఉంది (git రిపోజిటరీలో బ్యాక్డోర్తో కోడ్ లేదు) మరియు రూట్ హక్కులతో కూడిన సిస్టమ్లో ప్రామాణీకరణ లేకుండా రిమోట్గా ఏకపక్ష షెల్ ఆదేశాలను అమలు చేయడానికి అనుమతించింది.
దాడి కోసం, వెబ్మిన్తో ఓపెన్ నెట్వర్క్ పోర్ట్ను కలిగి ఉంటే సరిపోతుంది మరియు వెబ్ ఇంటర్ఫేస్లో పాత పాస్వర్డ్లను మార్చడం కోసం ఫంక్షన్ను సక్రియం చేయడం సరిపోతుంది (డిఫాల్ట్గా బిల్డ్లు 1.890లో ప్రారంభించబడింది, కానీ ఇతర వెర్షన్లలో డిసేబుల్ చేయబడింది). సమస్య తొలగించబడింది в నవీకరణ 1.930. బ్యాక్డోర్ను నిరోధించడానికి తాత్కాలిక చర్యగా, /etc/webmin/miniserv.conf కాన్ఫిగరేషన్ ఫైల్ నుండి “passwd_mode=” సెట్టింగ్ను తీసివేయండి. పరీక్షకు సిద్ధమైంది దోపిడీ ప్రోటోటైప్.
సమస్య ఏర్పడింది కనుగొన్నారు password_change.cgi స్క్రిప్ట్లో, వెబ్ ఫారమ్లో నమోదు చేసిన పాత పాస్వర్డ్ను తనిఖీ చేయడానికి ఉపయోగించబడుతుంది unix_crypt ఫంక్షన్, వినియోగదారు నుండి స్వీకరించబడిన పాస్వర్డ్ ప్రత్యేక అక్షరాలు తప్పించుకోకుండానే పంపబడుతుంది. git రిపోజిటరీలో ఈ ఫంక్షన్ ఇది Crypt ::UnixCrypt మాడ్యూల్ చుట్టూ చుట్టబడి ప్రమాదకరమైనది కాదు, కానీ Sourceforge వెబ్సైట్లో అందించిన కోడ్ ఆర్కైవ్ నేరుగా /etc/shadowని యాక్సెస్ చేసే కోడ్ని పిలుస్తుంది, అయితే దీన్ని షెల్ కన్స్ట్రక్ట్ని ఉపయోగించి చేస్తుంది. దాడి చేయడానికి, పాత పాస్వర్డ్తో ఫీల్డ్లో “|” చిహ్నాన్ని నమోదు చేయండి. మరియు దాని తర్వాత కింది కోడ్ సర్వర్లో రూట్ హక్కులతో అమలు చేయబడుతుంది.
న అప్లికేషన్ వెబ్మిన్ డెవలపర్లు, ప్రాజెక్ట్ యొక్క మౌలిక సదుపాయాలు రాజీ పడిన ఫలితంగా హానికరమైన కోడ్ చొప్పించబడింది. వివరాలు ఇంకా అందించబడలేదు, కాబట్టి హాక్ సోర్స్ఫోర్జ్ ఖాతాను నియంత్రించడానికి పరిమితం చేయబడిందా లేదా వెబ్మిన్ డెవలప్మెంట్ మరియు ఇన్ఫ్రాస్ట్రక్చర్లోని ఇతర అంశాలను ప్రభావితం చేసిందా అనేది స్పష్టంగా లేదు. హానికరమైన కోడ్ మార్చి 2018 నుండి ఆర్కైవ్లలో ఉంది. సమస్య కూడా ప్రభావితమైంది యూజర్ బిల్డ్స్. ప్రస్తుతం, అన్ని డౌన్లోడ్ ఆర్కైవ్లు Git నుండి పునర్నిర్మించబడ్డాయి.