AK
Size: a a a
2019 August 20
AV
Немного не по теме, но все равно пусть будет...
AV
В Webmin исправлена критическая уязвимость.
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
2019 August 21
I
У тератрон есть ТП?
АВ
У тератрон есть ТП?
Звучит как вид трансформеров...
AK
AF
тиратрон эт нимношк другое)
AF
AK
Поисковик в 146%% по контексту поймет что тебе надо))
I
Сайта с таким названием я не нашел
AK
тиратрон эт нимношк другое)
А ТП это в запросе этот третий проводник?
AK
Сайта с таким названием я не нашел
Че за оборудование?
I
Раньше у них начинка от дахуа была , сейчас ерунда какая то
AF
А ТП это в запросе этот третий проводник?
типа
AK
Раньше у них начинка от дахуа была , сейчас ерунда какая то
Начинка чего? Тролейбуса?
AK
I
Прошивка нужна была
M
эт наверно какое то импортозамещение
АВ
Прошивка нужна была
Нашлась?