Δημοφιλές προϊόν συνεργασίας που έχει η Zimbra προειδοποίησε τους πελάτες να εφαρμόσετε επειγόντως μια ενημερωμένη έκδοση κώδικα λογισμικού για να κλείσετε μια τρύπα ασφαλείας που λέει "θα μπορούσε ενδεχομένως να επηρεάσει την εμπιστευτικότητα και την ακεραιότητα των δεδομένων σας."
Η ευπάθεια είναι αυτό που είναι γνωστό ως σφάλμα XSS, συντομογραφία δημιουργία σεναρίων μεταξύ ιστοτόπων, όπου η εκτέλεση μιας λειτουργίας αθώας εμφάνισης μέσω του ιστότοπου X, όπως το κλικ στον ιστότοπο Y, δίνει στον χειριστή του ιστότοπου X μια ύπουλη ευκαιρία να εμφυτεύσει αδίστακτο κώδικα JavaScript στις ιστοσελίδες που το πρόγραμμα περιήγησής σας λαμβάνει πίσω από το Y.
Αυτό, με τη σειρά του, σημαίνει ότι ο X μπορεί να καταλήξει με πρόσβαση στον λογαριασμό σας στον ιστότοπο Y, διαβάζοντας και ίσως ακόμη και τροποποιώντας δεδομένα που διαφορετικά θα ήταν ιδιωτικά για τον Y, όπως τα στοιχεία του λογαριασμού σας, τα cookie σύνδεσης, τα διακριτικά ελέγχου ταυτότητας, το ιστορικό συναλλαγών , και ούτω καθεξής.
Η συντομογραφία XSS είναι ένα αυτοπεριγραφικό όνομα, επειδή η απάτη περιλαμβάνει ουσιαστικά την προώθηση μη αξιόπιστων σεναρίων από έναν ιστότοπο στο κατά τα άλλα αξιόπιστο περιεχόμενο ενός άλλου ιστότοπου…
…όλα χωρίς να χρειάζεται να εισέλθετε στον άλλο ιστότοπο εκ των προτέρων για να χακάρετε τα αρχεία HTML ή τον κώδικα JavaScript απευθείας.
Επιδιορθώθηκε αλλά δεν δημοσιεύτηκε
Αν και το σφάλμα έχει πλέον διορθωθεί στον κώδικα της Zimbra, και αυτό λέει η εταιρεία "εφάρμοσε αυτήν την επιδιόρθωση στην κυκλοφορία του Ιουλίου", δεν έχει ακόμη δημοσιεύσει αυτή την έκδοση.
Αλλά το έμπλαστρο αποδεικνύεται αρκετά επείγον για να χρειαστεί αμέσως, επειδή εντοπίστηκε σε α κυβερνοεπίθεση στην πραγματική ζωή από έναν ερευνητή ασφάλειας στην Google.
Αυτό το κάνει τρομερό εκμετάλλευση μηδενικής ημέρας, ο όρος της ορολογίας που χρησιμοποιείται για τις τρύπες ασφαλείας που οι Bad Guys βρίσκουν πρώτα και κρατούν για τον εαυτό τους.
Ως εκ τούτου, η Zimbra έχει προειδοποιήσει τους πελάτες της να εφαρμόσουν οι ίδιοι την επιδιόρθωση με το χέρι, κάτι που απαιτεί επεξεργασία μιας γραμμής σε ένα μεμονωμένο αρχείο δεδομένων στον κατάλογο εγκατάστασης του προϊόντος.
Η Zimbra δεν χρησιμοποίησε αρκετά τη δική του ομοιοκαταληκτική υπενθύμιση του Naked Security Μην καθυστερείτε/Κάντε το σήμερα, αλλά οι τεχνικοί της εταιρείας είπαν κάτι με το ίδιο επίπεδο επείγοντος από μόνοι τους επίσημο δελτίο ασφαλείας:
Ανάλαβε δράση. Εφαρμογή Διόρθωσης με μη αυτόματο τρόπο.
Κατανοούμε ότι μπορεί να θέλετε να λάβετε μέτρα νωρίτερα παρά αργότερα για την προστασία των δεδομένων σας.
Για να διατηρήσουμε το υψηλότερο επίπεδο ασφάλειας, παρακαλούμε τη συνεργασία σας για την εφαρμογή της επιδιόρθωσης με μη αυτόματο τρόπο σε όλους τους κόμβους του γραμματοκιβωτίου σας.
Εξήγησε το XSS
Με απλά λόγια, οι επιθέσεις XSS συνήθως περιλαμβάνουν την εξαπάτηση ενός διακομιστή για τη δημιουργία μιας ιστοσελίδας που περιλαμβάνει αξιόπιστα δεδομένα που υποβάλλονται από έξω, χωρίς να ελέγξετε ότι τα δεδομένα είναι ασφαλή για αποστολή απευθείας στο πρόγραμμα περιήγησης του χρήστη.
Όσο περίεργο (ή τόσο απίθανο) κι αν ακούγεται στην αρχή, να θυμάστε ότι η επανάληψη ή η ανάκλαση εισόδου στο πρόγραμμα περιήγησής σας είναι απολύτως φυσιολογικό, για παράδειγμα όταν ένας ιστότοπος θέλει να επιβεβαιώσει τα δεδομένα που μόλις εισαγάγατε ή να αναφέρει τα αποτελέσματα μιας Αναζήτηση.
Εάν περιηγείζατε σε έναν ιστότοπο αγορών, για παράδειγμα, και θέλατε να δείτε εάν είχαν κάποιο Άγιο Δισκοπότηρο προς πώληση, θα περιμένατε να πληκτρολογήσετε Holy Grail
σε ένα πλαίσιο αναζήτησης, το οποίο μπορεί να καταλήξει να υποβληθεί στον ιστότοπο σε μια διεύθυνση URL όπως αυτή:
https://example.com/search/?product=Holy%20Grail
(Οι διευθύνσεις URL δεν μπορούν να περιέχουν κενά, επομένως ο χαρακτήρας διαστήματος μεταξύ των λέξεων μετατρέπεται από το πρόγραμμα περιήγησής σας σε %20
, όπου το 20 είναι ο κωδικός ASCII για το διάστημα σε δεκαεξαδικό.)
Και δεν θα εκπλαγείτε αν δείτε τις ίδιες λέξεις να επαναλαμβάνονται στη σελίδα που επέστρεψε, για παράδειγμα ως εξής:
Κάνατε αναζήτηση για: Holy Grail Συγγνώμη. Δεν έχουμε σε απόθεμα.
Τώρα φανταστείτε ότι προσπαθήσατε να αναζητήσετε ένα προϊόν με περίεργη ονομασία που ονομάζεται a Holy<br>Grail
αντ 'αυτού, απλώς για να δούμε τι συνέβη.
Αν επιστρέψατε μια σελίδα κάτι σαν αυτό…
Κάνατε αναζήτηση για: Holy Grail Συγγνώμη. Δεν έχουμε σε απόθεμα.
…αντί για αυτό που θα περίμενες, δηλαδή…
Αναζήτησες: Ιερό Δισκοπότηρο Συγγνώμη. Δεν έχουμε σε απόθεμα.
…τότε θα καταλάβατε αμέσως ότι ο διακομιστής στο άλλο άκρο ήταν απρόσεκτος με τους λεγόμενους «ειδικούς» χαρακτήρες όπως <
(σύμβολο λιγότερο από) και >
(σήμα μεγαλύτερο από), που χρησιμοποιούνται για τον καθορισμό εντολών HTML, όχι απλώς δεδομένων HTML.
Η ακολουθία HTML <br>
δεν σημαίνει κυριολεκτικά «εμφάνιση του κειμένου μικρότερο-από πρόσημο γράμμα-β γράμμα-ρ μεγαλύτερο-από πρόσημο", αλλά είναι αντίθετα μια ετικέτα ή εντολή HTML, που σημαίνει "εισάγετε μια αλλαγή γραμμής σε αυτό το σημείο".
Ένας διακομιστής που θέλει να στείλει στο πρόγραμμα περιήγησής σας ένα σημάδι λιγότερο από για εκτύπωση στην οθόνη πρέπει να χρησιμοποιήσει την ειδική ακολουθία <
αντι αυτου. (Οι πινακίδες μεγαλύτερο από, όπως μπορείτε να φανταστείτε, κωδικοποιούνται ως >
.)
Φυσικά, αυτό σημαίνει ότι ο χαρακτήρας συμπερασμάτων (&
) έχει επίσης μια ειδική σημασία, επομένως τα σύμβολα που θα εκτυπωθούν πρέπει να κωδικοποιηθούν ως &
, μαζί με διπλά εισαγωγικά ("
) και μονά εισαγωγικά ή αποστροφικά ('
).
Στην πραγματική ζωή, το πρόβλημα με το κόλπο εξόδου με δυνατότητα δέσμης ενεργειών μεταξύ τοποθεσιών δεν είναι «κυρίως αβλαβείς» εντολές HTML όπως π.χ. <br>
, που διαταράσσει τη διάταξη της σελίδας, αλλά επικίνδυνες ετικέτες HTML όπως π.χ <script>
, που σας επιτρέπουν να ενσωματώσετε κώδικα JavaScript ακριβώς εκεί, απευθείας στην ίδια την ιστοσελίδα.
Μόλις διαπιστώσετε ότι ένας ιστότοπος δεν χειρίζεται την αναζήτηση <br>
σωστά, η επόμενη προσπάθειά σας μπορεί να είναι να αναζητήσετε κάτι τέτοιο Holy<script>alert('Ooops')</script>Grail
Αντιθέτως.
Εάν αυτός ο όρος αναζήτησης επιστραφεί ακριβώς όπως τον στείλατε στην πρώτη θέση, το αποτέλεσμα θα είναι να εκτελεστεί η λειτουργία JavaScript alert()
και για να εμφανιστεί ένα μήνυμα στο πρόγραμμα περιήγησής σας που λέει Ooops
.
Όπως μπορείτε να φανταστείτε, απατεώνες που ανακαλύπτουν πώς να δηλητηριάζουν ιστοσελίδες με δοκιμή alert()
Τα αναδυόμενα παράθυρα αλλάζουν γρήγορα στη χρήση της νέας οπής XSS τους για να εκτελούν πολύ πιο δόλιες λειτουργίες.
Αυτά μπορεί να περιλαμβάνουν την ανάκτηση ή την τροποποίηση δεδομένων που σχετίζονται με τον λογαριασμό σας, την αποστολή μηνυμάτων ή την εξουσιοδότηση ενεργειών στο όνομά σας και ίσως την απόκτηση cookie ελέγχου ταυτότητας που θα επιτρέψουν στους ίδιους τους εγκληματίες να συνδεθούν απευθείας στον λογαριασμό σας αργότερα.
Παρεμπιπτόντως, η ενημέρωση κώδικα μιας γραμμής που καλείστε να εφαρμόσετε στον κατάλογο προϊόντων Zimbra περιλαμβάνει την αλλαγή ενός στοιχείου σε μια ενσωματωμένη φόρμα ιστού από αυτό…
…σε ασφαλέστερη μορφή, έτσι ώστε το value
Το πεδίο (το οποίο θα σταλεί στο πρόγραμμα περιήγησής σας ως κείμενο, αλλά δεν εμφανίζεται ποτέ, επομένως δεν θα γνωρίζετε καν ότι είναι εκεί κατά την πρόσβαση στον ιστότοπο) έχει κατασκευαστεί ως εξής:
Αυτή η γραμμή νέας εμφάνισης λέει στον διακομιστή (ο οποίος είναι γραμμένος σε Java) να εφαρμόσει τη συνάρτηση Java με γνώμονα την ασφάλεια escapeXml()
στην αξία του st
πεδίο πρώτα.
Όπως μάλλον μαντέψατε, escapeXml()
διασφαλίζει ότι τυχόν υπολείμματα <
, >
, &
, "
και '
Οι χαρακτήρες σε μια συμβολοσειρά κειμένου ξαναγράφονται στη σωστή και ανθεκτική σε XSS μορφές, χρησιμοποιώντας <
, >
, &
, "
και '
Αντιθέτως.
Πρώτα η ασφάλεια!
Τι να κάνω;
Ακολουθήστε το οδηγίες μπαλώματος με το χέρι στον ιστότοπο της Zimbra.
Υποθέτουμε ότι οι εταιρείες που εκτελούν τις δικές τους παρουσίες Zimbra (ή πληρώνουν κάποιον άλλο για να τις εκτελέσει για λογαριασμό τους) δεν θα βρουν την ενημερωμένη έκδοση κώδικα τεχνικά περίπλοκη στην εκτέλεση και θα δημιουργήσουν γρήγορα ένα προσαρμοσμένο σενάριο ή πρόγραμμα για να το κάνουν για λογαριασμό τους.
Απλά μην ξεχνάτε ότι πρέπει επαναλάβετε τη διαδικασία επιδιόρθωσης, όπως σας θυμίζει η Zimbra, σε όλους τους κόμβους του γραμματοκιβωτίου σας.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Απόλυτος
- πρόσβαση
- πρόσβαση
- Λογαριασμός
- απέναντι
- Ενέργειες
- ενεργειών
- εκ των προτέρων
- Όλα
- επιτρέπουν
- κατά μήκος
- amp
- an
- και
- Άλλος
- κάθε
- εφαρμοσμένος
- Εφαρμογή
- ΕΙΝΑΙ
- AS
- At
- Επιθέσεις
- Πιστοποίηση
- συγγραφέας
- αυτόματη
- μακριά
- πίσω
- background-image
- Κακός
- BE
- επειδή
- ήταν
- χάρη
- είναι
- μεταξύ
- σύνορο
- Κάτω μέρος
- Κουτί
- Διακοπή
- πρόγραμμα περιήγησης
- Περιήγηση
- Έντομο
- ενσωματωμένο
- αλλά
- by
- που ονομάζεται
- ήρθε
- CAN
- Κέντρο
- ευκαιρία
- αλλαγή
- χαρακτήρας
- χαρακτήρες
- έλεγχος
- Κλεισιμο
- κωδικός
- συνεργασία
- χρώμα
- Εταιρείες
- εταίρα
- συγκρότημα
- εμπιστευτικότητα
- Επιβεβαιώνω
- περιέχουν
- περιεχόμενο
- μετατρέπονται
- μπισκότα
- συνεργασία
- διορθώσει
- Πορεία
- κάλυμμα
- δημιουργία
- Εγκληματίες
- περίεργος
- έθιμο
- Πελάτες
- Επικίνδυνες
- ημερομηνία
- καθέκαστα
- κατευθείαν
- ανακαλύπτουν
- Display
- do
- Όχι
- Don
- Μην
- αποτέλεσμα
- αλλιώς
- embed
- τέλος
- αρκετά
- εξασφαλίζει
- εισήχθη
- κατ 'ουσίαν,
- Even
- παράδειγμα
- αναμένω
- πεδίο
- Αρχεία
- Αρχεία
- Εύρεση
- Όνομα
- σταθερός
- εξής
- Για
- μορφή
- μορφή
- από
- λειτουργία
- παραγωγής
- δίνει
- μαντέψατε
- σιδηροπρίονο
- είχε
- χέρι
- λαβή
- συνέβη
- Έχω
- ύψος
- κρυμμένο
- υψηλότερο
- ιστορία
- κρατήστε
- Τρύπα
- Τρύπες
- φτερουγίζω
- Πως
- Πώς να
- HTML
- HTTPS
- if
- φαντάζομαι
- αμέσως
- Επίπτωση
- in
- περιλαμβάνουν
- περιλαμβάνει
- εισαγωγή
- εγκατάσταση
- παράδειγμα
- αντί
- ακεραιότητα
- σε
- εμπλέκω
- IT
- ΤΟΥ
- εαυτό
- ορολογία
- Java
- το JavaScript
- Ιούλιος
- μόλις
- Διατήρηση
- Ξέρω
- γνωστός
- αργότερα
- σχέδιο
- αριστερά
- ας
- Επίπεδο
- ζωή
- Μου αρέσει
- γραμμή
- κούτσουρο
- Σύνδεση
- διατηρήσουν
- ΚΑΝΕΙ
- χειροκίνητα
- Περιθώριο
- max-width
- Ενδέχεται..
- νόημα
- μέσα
- απλώς
- μήνυμα
- μηνύματα
- ενδέχεται να
- περισσότερο
- πολύ
- όνομα
- Ανάγκη
- που απαιτούνται
- χρειάζονται
- ανάγκες
- ποτέ
- επόμενη
- κόμβων
- κανονικός
- τώρα
- of
- on
- ONE
- λειτουργία
- λειτουργίες
- χειριστής
- or
- ΑΛΛΑ
- αλλιώς
- έξω
- παραγωγή
- επί
- δική
- σελίδα
- σελίδες
- Patch
- Διόρθωση
- Παύλος
- Πληρωμή
- Εκτελέστε
- εκτέλεση
- ίσως
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δηλητήριο
- ποπ
- θέση
- Δημοσιεύσεις
- ενδεχομένως
- ακριβώς
- ιδιωτικός
- πιθανώς
- Πρόβλημα
- Προϊόν
- Πρόγραμμα
- δεόντως
- προστασία
- δημοσιεύθηκε
- Δραστήριος
- βάζω
- γρήγορα
- μάλλον
- Ανάγνωση
- πραγματικός
- πραγματική ζωή
- λαμβάνει
- σχετικής
- θυμάμαι
- επανειλημμένες
- αναφέρουν
- ζητήσει
- Απαιτεί
- ερευνητής
- Αποτελέσματα
- δεξιά
- τρέξιμο
- ένα ασφαλές
- Ασφαλέστερο
- Είπε
- πώληση
- ίδιο
- ρητό
- λέει
- Οθόνη
- Εφαρμογές
- Αναζήτηση
- αναζήτηση
- ασφάλεια
- δείτε
- στείλετε
- αποστολή
- αποστέλλονται
- Ακολουθία
- Καταστήματα Λιανικής
- Κοντά
- παρουσιάζεται
- υπογράψουν
- Σημάδια
- ενιαίας
- ιστοσελίδα
- Ύπουλος
- So
- λογισμικό
- στέρεο
- Κάποιος
- κάτι
- Ήχος
- Χώρος
- χώρων
- ειδική
- στοκ
- Σπάγγος
- υποβάλλονται
- τέτοιος
- σουίτα
- έκπληκτος
- SVG
- διακόπτης
- TAG
- Πάρτε
- τεχνικά
- λέει
- όρος
- από
- ότι
- Η
- τους
- Τους
- τους
- Εκεί.
- επομένως
- αυτοί
- αυτό
- Μέσω
- προς την
- κουπόνια
- πολύ
- κορυφή
- συναλλαγή
- μετάβαση
- διαφανής
- δίκη
- Προσπάθησα
- ΣΤΡΟΦΗ
- μετατρέπει
- τύπος
- καταλαβαίνω
- απίθανος
- επείγον
- επείγων
- URL
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- συνήθως
- αξία
- εκδοχή
- πολύ
- μέσω
- ευπάθεια
- θέλω
- ήθελε
- θέλει
- προειδοποίηση
- ήταν
- we
- ιστός
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- ήταν
- Τι
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- πλάτος
- θα
- με
- χωρίς
- λόγια
- θα
- γραπτή
- X
- XSS
- ακόμη
- Εσείς
- Σας
- zephyrnet