Populært samarbejdsprodukt Zimbra har advarede kunder at anvende en softwarepatch omgående for at lukke et sikkerhedshul, som der står "kan potentielt påvirke fortroligheden og integriteten af dine data."
Sårbarheden er det, der er kendt som en XSS-fejl, en forkortelse for scripting på tværs af websteder, hvorved at udføre en uskyldigt udseende operation via site X, såsom at klikke videre til site Y, giver operatøren af site X en snigende chance for at implantere falsk JavaScript-kode på de websider, som din browser modtager tilbage fra Y.
Dette betyder igen, at X kan ende med adgang til din konto på site Y ved at læse og måske endda ændre data, der ellers ville være private for Y, såsom dine kontooplysninger, login-cookies, autentificeringstokens, transaktionshistorik , og så videre.
Forkortelsen XSS er et selvbeskrivende navn, fordi roguery i det væsentlige involverer at skubbe upålidelige scripts på tværs fra et websted til det ellers betroede indhold på et andet websted...
… alt sammen uden at skulle bryde ind på det andet websted på forhånd for at hacke dets HTML-filer eller JavaScript-kode direkte.
Rettet, men ikke offentliggjort
Selvom fejlen nu er blevet rettet i Zimbras kode, og det siger firmaet "den har anvendt denne rettelse til juli-udgivelsen", den har endnu ikke udgivet den version.
Men plasteret viser sig at være presserende nok til at være nødvendigt med det samme, fordi det blev opdaget i en cyberangreb fra det virkelige liv af en sikkerhedsforsker hos Google.
Det gør det til en frygtet nul-dages udnyttelse, jargonbegrebet, der bruges til sikkerhedshuller, som de onde finder først og holder for sig selv.
Zimbra har derfor advaret sine kunder om at anvende rettelsen selv i hånden, hvilket kræver en enkelt-linje redigering af en enkelt datafil i produktets installationsmappe.
Zimbra brugte ikke helt Naked Securitys helt egen rim-påmindelse om Forsink ikke/gør det i dag, men byens teknikere sagde noget med samme hastende grad i deres eget officiel sikkerhedsbulletin:
Handle. Anvend Fix manuelt.
Vi forstår, at du måske ønsker at handle før snarere end senere for at beskytte dine data.
For at opretholde det højeste sikkerhedsniveau anmoder vi venligst om dit samarbejde med at anvende rettelsen manuelt på alle dine postkassenoder.
XSS forklaret
Kort sagt involverer XSS-angreb normalt at narre en server til at generere en webside der tillidsfuldt omfatter data indsendt udefra, uden at kontrollere, at dataene er sikre at sende direkte til brugerens browser.
Lige så nysgerrigt (eller så usandsynligt), som dette kan lyde i første omgang, så husk, at gentagelse eller gengivelse af input tilbage i din browser er helt normalt, for eksempel når et websted ønsker at bekræfte data, du lige har indtastet, eller at rapportere resultaterne af en Søg.
Hvis du f.eks. besøgte en shoppingside, og du ville se, om de havde nogle hellige grale til salg, ville du forvente at skrive Holy Grail
ind i et søgefelt, som kan ende med at blive sendt til webstedet i en URL som denne:
https://example.com/search/?product=Holy%20Grail
(URL'er må ikke indeholde mellemrum, så mellemrummet mellem ordene konverteres af din browser til %20
, hvor 20 er ASCII-koden for mellemrum i hexadecimal.)
Og du ville ikke blive overrasket over at se de samme ord gentaget på siden, der kom tilbage, for eksempel som dette:
Du søgte efter: Holy Grail Sorry. Vi har ingen på lager.
Forestil dig nu, at du prøvede at søge efter et bizart navngivet produkt kaldet a Holy<br>Grail
i stedet bare for at se, hvad der skete.
Hvis du fik en side tilbage noget som dette...
Du søgte efter: Holy Grail Sorry. Vi har ingen på lager.
…i stedet for hvad du ville forvente, nemlig…
Du har søgt efter: Hellig Gral Undskyld. Vi har ingen på lager.
…så ville du med det samme vide, at serveren i den anden ende var skødesløs med såkaldte "specielle" karakterer som f.eks. <
(mindre-end-tegn) og >
(større-end-tegn), som bruges til at specificere HTML-kommandoer, ikke blot HTML-data.
HTML-sekvensen <br>
betyder ikke bogstaveligt "vis teksten mindre-end-tegn bogstav-b bogstav-r større-end-tegn", men er i stedet et HTML-tag eller kommando, der betyder "indsæt et linjeskift på dette tidspunkt".
En server, der ønsker at sende din browser et mindre-end-tegn for at udskrive på skærmen, skal bruge den specielle sekvens <
i stedet. (Større-end-tegn, som du kan forestille dig, er kodet som >
.)
Det betyder selvfølgelig, at og-tegnet (&
) har også en særlig betydning, så og-tegn, der skal udskrives, skal kodes som &
, sammen med dobbelte anførselstegn ("
) og enkelte anførselstegn eller apostroftegn ('
).
I det virkelige liv er problemet med cross-site-scriptable output trickery ikke "for det meste harmløse" HTML-kommandoer som f.eks. <br>
, hvilket forstyrrer sidelayoutet, men farlige HTML-tags som f.eks <script>
, som giver dig mulighed for at indlejre JavaScript-kode lige der, direkte på selve websiden.
Når du har opdaget, at et websted ikke klarer at søge efter <br>
korrekt, kan dit næste forsøg være at søge efter noget lignende Holy<script>alert('Ooops')</script>Grail
i stedet.
Hvis denne søgeterm returneres præcis som du sendte den over i første omgang, vil effekten være at køre JavaScript-funktionen alert()
og for at pop op en besked i din browser, der siger Ooops
.
Som du kan forestille dig, skurke, der opdager, hvordan man forgifter websteder med prøvelse alert()
popup-vinduer skifter hurtigt til at bruge deres nyfundne XSS-hul til at udføre meget mere omstændelige operationer.
Disse kan omfatte hentning eller ændring af data, der er relevante for din konto, afsendelse af beskeder eller godkendelse af handlinger i dit navn, og måske fat i autentificeringscookies, som vil lade de kriminelle selv logge direkte ind på din konto senere.
I øvrigt involverer den en-linje patch, du opfordres til at anvende i Zimbra-produktkataloget, at ændre en vare i en indbygget webformular fra denne...
…til et mere sikkert format, så value
felt (som vil blive sendt til din browser som tekst, men aldrig vist, så du ved ikke engang, at det er der, mens du går ind på siden) er konstrueret som følger:
Denne nye linje fortæller serveren (som er skrevet i Java) om at anvende den sikkerhedsbevidste Java-funktion escapeXml()
til værdien af st
felt først.
Som du sikkert har gættet, escapeXml()
sikrer, at en eventuel rest <
, >
, &
, "
, '
tegn i en tekststreng omskrives i deres korrekte og XSS-resistente formater ved hjælp af <
, >
, &
, "
, '
i stedet.
Sikkerhed først!
Hvad skal jeg gøre?
Følg hånd-patching instruktioner på Zimbras hjemmeside.
Vi antager, at virksomheder, der kører deres egne Zimbra-forekomster (eller betaler en anden for at køre dem på deres vegne), ikke vil finde patchen teknisk kompleks at udføre og hurtigt vil oprette et brugerdefineret script eller program til at gøre det for dem.
Bare glem ikke, at du skal gentag patching-processen, som Zimbra minder dig om, på alle dine postkassenoder.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 15 %
- 20
- 25
- 700
- 8
- a
- absolutte
- adgang
- Adgang
- Konto
- tværs
- Handling
- aktioner
- fremme
- Alle
- tillade
- sammen
- amp
- an
- ,
- En anden
- enhver
- anvendt
- Indløs
- ER
- AS
- At
- Angreb
- Godkendelse
- forfatter
- auto
- væk
- tilbage
- background-billede
- Bad
- BE
- fordi
- været
- vegne
- være
- mellem
- grænse
- Bund
- Boks
- Pause
- browser
- Browsing
- Bug
- indbygget
- men
- by
- kaldet
- kom
- CAN
- center
- chance
- skiftende
- karakter
- tegn
- kontrol
- Luk
- kode
- samarbejde
- farve
- Virksomheder
- selskab
- komplekse
- fortrolighed
- Bekræfte
- indeholder
- indhold
- konverteret
- cookies
- samarbejde
- korrigere
- Kursus
- dæksel
- skabe
- Kriminelle
- nysgerrig
- skik
- Kunder
- Dangerous
- data
- detaljer
- direkte
- opdage
- Skærm
- do
- Er ikke
- Don
- Dont
- effekt
- andet
- Integrer
- ende
- nok
- sikrer
- indtastet
- væsentlige
- Endog
- eksempel
- forvente
- felt
- File (Felt)
- Filer
- Finde
- Fornavn
- Fix
- følger
- Til
- formular
- format
- fra
- funktion
- generere
- giver
- gættet
- hack
- havde
- hånd
- håndtere
- skete
- Have
- højde
- Skjult
- højeste
- historie
- hold
- Hole
- Huller
- hover
- Hvordan
- How To
- HTML
- HTTPS
- if
- billede
- straks
- KIMOs Succeshistorier
- in
- omfatter
- omfatter
- indgang
- installation
- instans
- i stedet
- integritet
- ind
- involvere
- IT
- ITS
- selv
- jargon
- Java
- JavaScript
- juli
- lige
- Holde
- Kend
- kendt
- senere
- Layout
- til venstre
- lad
- Niveau
- Livet
- ligesom
- Line (linje)
- log
- Logge på
- vedligeholde
- maerker
- manuelt
- Margin
- max-bredde
- Kan..
- betyder
- midler
- blot
- besked
- beskeder
- måske
- mere
- meget
- navn
- Behov
- behov
- behøve
- behov
- aldrig
- næste
- noder
- normal
- nu
- of
- on
- ONE
- drift
- Produktion
- operatør
- or
- Andet
- Ellers
- ud
- output
- i løbet af
- egen
- side
- sider
- patch
- lappe
- paul
- Betal
- Udfør
- udfører
- måske
- Place
- plato
- Platon Data Intelligence
- PlatoData
- gift
- pop
- position
- Indlæg
- potentielt
- præcist
- private
- sandsynligvis
- Problem
- Produkt
- Program
- korrekt
- beskytte
- offentliggjort
- Pushing
- sætte
- hurtigt
- hellere
- Læsning
- ægte
- I virkeligheden
- modtager
- relative
- relevant
- huske
- gentaget
- indberette
- anmode
- Kræver
- forsker
- Resultater
- højre
- Kør
- sikker
- sikrere
- Said
- salg
- samme
- siger
- siger
- Skærm
- scripts
- Søg
- søgning
- sikkerhed
- se
- send
- afsendelse
- sendt
- Sequence
- Shopping
- Kort
- vist
- underskrive
- Skilte
- enkelt
- websted
- Luskede
- So
- Software
- solid
- Nogen
- noget
- Lyd
- Space
- rum
- særligt
- bestand
- String
- indsendt
- sådan
- suite
- overrasket
- SVG
- Kontakt
- TAG
- Tag
- teknisk set
- fortæller
- semester
- end
- at
- deres
- Them
- selv
- Der.
- derfor
- de
- denne
- Gennem
- til
- Tokens
- også
- top
- transaktion
- overgang
- gennemsigtig
- retssag
- forsøgte
- TUR
- vender
- typen
- forstå
- usandsynligt
- haster
- presserende
- URL
- brug
- anvendte
- ved brug af
- sædvanligvis
- værdi
- udgave
- meget
- via
- sårbarhed
- ønsker
- ønskede
- ønsker
- advarsel
- var
- we
- web
- Hjemmeside
- websites
- var
- Hvad
- hvornår
- som
- mens
- WHO
- bredde
- vilje
- med
- uden
- ord
- ville
- skriftlig
- X
- XSS
- endnu
- Du
- Din
- zephyrnet