在包中 ,它提供了远程服务器管理的工具, 后门 (),在官方项目构建中发现, 通过 Sourceforge 和 在主网站上。 该后门存在于 1.882 到 1.921(含)的版本中(git 存储库中没有带有后门的代码),并且允许在具有 root 权限的系统上远程执行任意 shell 命令,而无需进行身份验证。
对于攻击来说,只要使用 Webmin 打开网络端口并激活 Web 界面中更改过时密码的功能(在 1.890 版本中默认启用,但在其他版本中禁用)就足够了。 问题 в 1.930。 作为阻止后门的临时措施,只需从 /etc/webmin/miniserv.conf 配置文件中删除“passwd_mode=”设置即可。 准备测试 .
问题是 在password_change.cgi脚本中,检查在Web表单中输入的旧密码 unix_crypt 函数,将从用户接收到的密码传递给该函数,而不转义特殊字符。 在 git 仓库中这个函数 包裹在 Crypt::UnixCrypt 模块中,并不危险,但 Sourceforge 网站上提供的代码存档调用直接访问 /etc/shadow 的代码,但使用 shell 构造来实现。 要进行攻击,只需在旧密码字段中输入符号“|”即可。 后面的代码将在服务器上以 root 权限执行。
上 Webmin 开发人员表示,恶意代码的插入是由于项目的基础设施遭到破坏。 目前尚未提供详细信息,因此尚不清楚这次黑客攻击是否仅限于控制 Sourceforge 帐户或影响 Webmin 开发和构建基础设施的其他元素。 该恶意代码自 2018 年 XNUMX 月以来一直存在于档案中。 问题也影响了 。 目前,所有下载档案都是从 Git 重建的。
来源: opennet.ru