Впервые о проблеме стало известно 10 августа на конференции DEF CON, однако разработчики узнали о ней только спустя неделю.
Разработчики приложения с открытым исходным кодом Webmin, предназначенного для администрирования Unix-подобных систем, выпустили версию Webmin 1.930 и связанную с ней версию Usermin 1.780. Обновление исправляет критическую уязвимость (CVE-2019-15107), позволяющую удаленно выполнять код при определенных настройках конфигурации ПО.
«Релиз исправляет раскрытую сегодня уязвимость CVE-2019-15107. Мы не получали никаких предварительных уведомлений о ней, что весьма непривычно и неэтично со стороны обнаружившего ее исследователя. Однако при данных обстоятельствах нам не остается ничего другого, кроме как поскорее выпустить исправление», – сообщил один из разработчиков Webmin Джо Купер (Joe Cooper) на прошлых выходных.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Проблема затрагивает все версии Webmin, начиная от 1.882 и заканчивая 1.920. Версия Webmin 1.890 уязвима даже при заводских настройках конфигурации.
По словам Купера, патч также исправляет несколько XSS-уязвимостей, о которых исследователи сообщили в должном порядке, за что им было выплачено денежное вознаграждение.
