Страница телеграм канала (TS) Типичный Сисадмин
(TS) Типичный Сисадмин
3551 подписчиков
Крупнейшее сообщество айтишников и сисадминов в частности. Для связи sysodmins@gmail.com или @sysodmin
Входит в категории: Технологии
20.08.2019 14:08
В Webmin исправлена критическая уязвимость.
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (zkan Mustafa Akku) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
20.08.2019 09:08
Юзверь попытался высушить свой ноутбук с помощью тепловой пушки.