Zimbral on populaarne koostöötoode hoiatas kliente Rakendage kiiresti tarkvaraplaaster, et sulgeda seal öeldud turvaauk "võib potentsiaalselt mõjutada teie andmete konfidentsiaalsust ja terviklikkust."
Haavatavus on nn XSS-i viga, mille lühend on saididevaheline skriptimine, kus süütu välimusega toiming saidi X kaudu, näiteks saidile Y klõpsamine, annab saidi X operaatorile salakaval võimaluse implanteerida võlts JavaScripti koodi veebilehtedele, mille teie brauser Y-lt tagasi saab.
See omakorda tähendab, et X võib pääseda juurde teie kontole saidil Y, lugedes ette ja võib-olla isegi muutes andmeid, mis muidu oleksid Y jaoks privaatsed, nagu teie konto andmed, sisselogimisküpsised, autentimismärgid, tehinguajalugu. , ja nii edasi.
Lühend XSS on ennast kirjeldav nimi, sest petturid seisnevad sisuliselt ebausaldusväärsete skriptide surumises ühelt saidilt teise saidi muidu usaldusväärse sisu alla...
…kõike ilma, et peaksite eelnevalt teisele saidile sisse murdma, et selle HTML-faile või JavaScripti koodi otse häkkida.
Lapitud, kuid avaldamata
Kuigi viga on nüüd Zimbra koodis paigatud ja ettevõte ütleb seda "see rakendas selle paranduse juulikuu väljalasele", pole see seda versiooni veel avaldanud.
Kuid plaaster osutub piisavalt kiireloomuliseks, et seda oleks kohe vaja, sest seda märgati a päriselu küberrünnak Google'i turvateadlase poolt.
See muudab selle kardetavaks nullpäeva ärakasutamine, žargooni termin, mida kasutatakse turvaaukude kohta, mille pahalased esimesena leiavad ja endale jätavad.
Zimbra on seetõttu hoiatanud oma kliente, et nad rakendaksid paranduse ise käsitsi, mis nõuab toote installikataloogi ühe andmefaili üherealist redigeerimist.
Zimbra ei kasutanud päriselt Naked Security enda riimuvat meeldetuletust Ärge viivitage / tehke seda täna, kuid ettevõtte tehnikud ütlesid midagi sama kiiresti ametlik julgeolekubülletään:
Tegutsema. Rakendage parandus käsitsi.
Mõistame, et võiksite oma andmete kaitsmiseks varem kui hiljem midagi ette võtta.
Kõrgeima turvalisuse taseme säilitamiseks palume teie koostööd, et rakendada parandus käsitsi kõikidele teie postkasti sõlmedele.
XSS selgitas
Lihtsamalt öeldes hõlmavad XSS-i rünnakud tavaliselt serveri petmist veebilehe loomiseks mis sisaldab usalduslikult väljastpoolt esitatud andmeid, kontrollimata, kas andmeid on ohutu otse kasutaja brauserisse saata.
Nii uudishimulik (või nii ebatõenäoline), kui see esmapilgul ka ei tunduks, pidage meeles, et brauseris sisendi kordamine või peegeldamine on täiesti normaalne, näiteks kui sait soovib kinnitada teie äsja sisestatud andmeid või teatada otsing.
Kui sirvite näiteks ostusaiti ja soovite näha, kas neil on müügil Püha Graale, peaksite kirjutama Holy Grail
otsingukasti, mis võidakse saata saidile sellise URL-iga:
https://example.com/search/?product=Holy%20Grail
(URL-id ei tohi sisaldada tühikuid, seega teisendab teie brauser sõnade vahelise tühiku tähemärgiks %20
, kus 20 on ruumi ASCII kood kuueteistkümnendsüsteemis.)
Ja te ei oleks üllatunud, kui näeksite tagasitulnud lehel korduvaid samu sõnu, näiteks nii:
Otsisid: Holy Grail Vabandust. Meil pole ühtegi laos.
Kujutage nüüd ette, et proovisite otsida veidra nimega toodet nimega a Holy<br>Grail
selle asemel, et näha, mis juhtus.
Kui saaksite tagasi sellise lehe…
Otsisid: Holy Grail Vabandust. Meil pole ühtegi laos.
… selle asemel, mida ootate, nimelt…
Sa otsisid: Püha Graal Vabandust. Meil pole ühtegi laos.
…siis teaksite kohe, et teises otsas olev server käitus nn erimärkidega, nagu näiteks <
(vähem kui märk) ja >
(suurem kui märk), mida kasutatakse HTML-i käskude, mitte ainult HTML-andmete määramiseks.
HTML-i jada <br>
ei tähenda sõna-sõnalt "kuva teksti vähem-kui märk täht-b-täht-r suurem-kui märk“, kuid on selle asemel HTML-märgend või käsk, mis tähendab „sisestage reavahetus selles punktis“.
Server, mis soovib saata teie brauserile ekraanile printimiseks vähem kui märki, peab kasutama spetsiaalset järjestust <
selle asemel. (Suurem kui märgid, nagu võite ette kujutada, on kodeeritud kui >
.)
Muidugi tähendab see, et ampersandi märk (&
) omab ka erilist tähendust, nii et väljaprinditavad ampersandid tuleb kodeerida kui &
, koos jutumärkidega ("
) ja ühekordsed jutumärgid või apostroofid ('
).
Reaalses elus ei ole saidiülese skriptitava väljundi trikitamise probleemiks "peamiselt kahjutud" HTML-käsud, näiteks <br>
, mis rikub lehe paigutust, kuid ohtlikud HTML-i sildid nagu <script>
, mis võimaldavad teil manustada JavaScripti koodi otse sinna, otse veebilehele.
Kui olete märganud, et sait ei tegele otsimisega <br>
õigesti, võib teie järgmine katse olla midagi sarnast otsida Holy<script>alert('Ooops')</script>Grail
asemel.
Kui see otsingutermin tagastatakse täpselt nii, nagu te selle üle saatsite, käivitatakse JavaScripti funktsioon alert()
ja et kuvada brauseris sõnum Ooops
.
Nagu võite ette kujutada, kelmid, kes avastavad, kuidas veebisaite prooviga mürgitada alert()
hüpikaknad lülituvad kiiresti üle oma uuele leitud XSS-i augule, et teha palju kavalamaid toiminguid.
Need võivad hõlmata teie kontoga seotud andmete hankimist või muutmist, sõnumite saatmist või teie nimel toimingute lubamist ja võib-olla autentimisküpsiste kinnihoidmist, mis võimaldavad kurjategijatel endil hiljem otse teie kontole tagasi logida.
Muide, üherealine plaaster, mida teil soovitatakse Zimbra tootekataloogis rakendada, hõlmab üksuse muutmist sisseehitatud veebivormis sellest…
…turvalisemasse vormingusse, nii et value
väli (mis saadetakse teie brauserisse tekstina, kuid mida ei kuvata kunagi, nii et te isegi ei tea, et see on saidile sisenedes) on üles ehitatud järgmiselt:
See uue välimusega rida käsib serveril (mis on kirjutatud Java keeles) rakendada turvateadlikku Java funktsiooni escapeXml()
väärtusele st
väli kõigepealt.
Nagu te ilmselt arvasite, escapeXml()
tagab, et kõik jäägid <
, >
, &
, "
ja '
tekstistringi märgid kirjutatakse ümber nende õiges ja XSS-kindlas vormingus, kasutades <
, >
, &
, "
ja '
asemel.
Ohutus ennekõike!
Mida teha?
Järgi käsitsi lappimise juhised Zimbra veebisaidil.
Eeldame, et ettevõtted, kes käitavad oma Zimbra eksemplare (või maksavad kellelegi teisele nende eest käitamise eest), ei pea plaastrit tehniliselt keerukaks ja loovad kiiresti kohandatud skripti või programmi, et seda nende eest teha.
Lihtsalt ärge unustage, et peate seda tegema korrake lappimisprotsessi, nagu Zimbra teile meelde tuletab, kõigis teie postkasti sõlmedes.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- absoluutne
- juurdepääs
- Ligipääs
- konto
- üle
- tegevus
- meetmete
- edendama
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- mööda
- amp
- an
- ja
- Teine
- mistahes
- rakendatud
- kehtima
- OLEME
- AS
- At
- Reageerib
- Autentimine
- autor
- auto
- ära
- tagasi
- background-image
- Halb
- BE
- sest
- olnud
- nimel
- on
- vahel
- piir
- põhi
- Kast
- Murdma
- brauseri
- Sirvimine
- Bug
- sisseehitatud
- kuid
- by
- kutsutud
- tuli
- CAN
- keskus
- võimalus
- muutuv
- iseloom
- märki
- kontroll
- lähedal
- kood
- koostöö
- värv
- Ettevõtted
- ettevõte
- keeruline
- konfidentsiaalsus
- Kinnitama
- sisaldama
- sisu
- ümber
- küpsised
- koostöö
- parandada
- Kursus
- cover
- looma
- Kurjategijad
- uudishimulik
- tava
- Kliendid
- Ohtlik
- andmed
- detailid
- otse
- avastama
- Ekraan
- do
- Ei tee
- don
- Ära
- mõju
- teine
- Embed
- lõpp
- piisavalt
- tagab
- sisenes
- põhiliselt
- Isegi
- näide
- ootama
- väli
- fail
- Faile
- leidma
- esimene
- Määrama
- järgneb
- eest
- vorm
- formaat
- Alates
- funktsioon
- teeniva
- annab
- arvas ära
- näksima
- olnud
- käsi
- käepide
- juhtus
- Olema
- kõrgus
- varjatud
- kõrgeim
- ajalugu
- hoidma
- Auk
- Augud
- hõljuma
- Kuidas
- Kuidas
- HTML
- HTTPS
- if
- kujutage ette
- kohe
- mõju
- in
- sisaldama
- hõlmab
- sisend
- paigaldamine
- Näiteks
- selle asemel
- terviklikkuse
- sisse
- kaasama
- IT
- ITS
- ise
- erikeel
- Java
- JavaScript
- Juuli
- lihtsalt
- hoidma
- Teadma
- teatud
- pärast
- Layout
- lahkus
- laskma
- Tase
- elu
- nagu
- joon
- logi
- Logi sisse
- säilitada
- TEEB
- käsitsi
- Varu
- max laiuse
- mai..
- tähendus
- vahendid
- ainult
- sõnum
- kirjad
- võib
- rohkem
- palju
- nimi
- Vajadus
- vaja
- vajav
- vajadustele
- mitte kunagi
- järgmine
- sõlmed
- normaalne
- nüüd
- of
- on
- ONE
- töö
- Operations
- operaator
- or
- Muu
- muidu
- välja
- väljund
- üle
- enda
- lehekülg
- lehekülge
- Plaaster
- Lappimine
- Paul
- Maksma
- täitma
- esitades
- ehk
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mürk
- pop-
- positsioon
- Postitusi
- potentsiaalselt
- täpselt
- trükk
- era-
- tõenäoliselt
- Probleem
- Toode
- Programm
- korralikult
- kaitsma
- avaldatud
- Lükkamine
- panema
- kiiresti
- pigem
- Lugemine
- reaalne
- päris elu
- saab
- suhteline
- asjakohane
- meeles pidama
- korduv
- aru
- taotleda
- Vajab
- uurija
- Tulemused
- õige
- jooks
- ohutu
- ohutum
- Ütlesin
- müük
- sama
- ütlus
- ütleb
- Ekraan
- skripte
- Otsing
- otsimine
- turvalisus
- vaata
- saatma
- saatmine
- Saadetud
- Jada
- ostud
- Lühike
- näidatud
- kirjutama
- Märgid
- ühekordne
- site
- Alatu
- So
- tarkvara
- tahke
- Keegi
- midagi
- heli
- Ruum
- tühikud
- eriline
- varu
- nöör
- esitatud
- selline
- komplekt
- üllatunud
- SVG
- Lüliti
- TAG
- Võtma
- tehniliselt
- ütleb
- termin
- kui
- et
- .
- oma
- Neile
- ennast
- Seal.
- seetõttu
- nad
- see
- Läbi
- et
- märgid
- liiga
- ülemine
- tehing
- üleminek
- läbipaistev
- kohtuprotsess
- proovitud
- Pöörake
- lülitub
- tüüp
- mõistma
- Ebatõenäoline
- pakilisus
- kiireloomuline
- URL
- kasutama
- Kasutatud
- kasutamine
- tavaliselt
- väärtus
- versioon
- väga
- kaudu
- haavatavus
- tahan
- tagaotsitav
- tahab
- hoiatus
- oli
- we
- web
- veebisait
- veebilehed
- olid
- M
- millal
- mis
- kuigi
- WHO
- laius
- will
- koos
- ilma
- sõnad
- oleks
- kirjalik
- X
- XSS
- veel
- sa
- Sinu
- sephyrnet