Zimbran suosittu yhteistyötuote varoitti asiakkaita asentaa ohjelmistokorjauksen kiireellisesti sulkeakseen siinä mainitun tietoturva-aukon "voi mahdollisesti vaikuttaa tietojesi luottamuksellisuuteen ja eheyteen."
Haavoittuvuus on niin sanottu XSS-virhe, lyhenne sanoista sivustojenvälinen komentosarja, jolloin viattoman näköisen toiminnon suorittaminen sivuston X kautta, kuten sivuston Y napsauttaminen, antaa sivuston X operaattorille harhaanjohtavan mahdollisuuden istuttaa vilpillistä JavaScript-koodia verkkosivuille, jotka selaimesi saa takaisin Y:ltä.
Tämä puolestaan tarkoittaa, että X voi päätyä tilillesi sivustolla Y lukemalla ja ehkä jopa muokkaamalla tietoja, jotka muuten olisivat Y:n yksityisiä, kuten tilitietosi, kirjautumisevästeet, todennustunnukset, tapahtumahistoria. , ja niin edelleen.
Lyhenne XSS on itsekuvaava nimi, koska roguer-huijaus tarkoittaa lähinnä epäluotettavien komentosarjojen työntämistä yhdeltä sivustolta muutoin luotettuun sisältöön toisella sivustolla…
…kaikki ilman, että sinun tarvitsee murtautua toiselle sivustolle etukäteen hakkeroidaksesi sen HTML-tiedostoja tai JavaScript-koodia suoraan.
Pakattu, mutta ei julkaistu
Vaikka vika on nyt korjattu Zimbran koodiin, ja yritys sanoo niin "se on soveltanut tätä korjausta heinäkuun julkaisuun", se ei ole vielä julkaissut kyseistä versiota.
Mutta laastari osoittautuu niin kiireelliseksi, että sitä tarvitaan heti, koska se havaittiin a tosielämän kyberhyökkäys Googlen tietoturvatutkija.
Se tekee siitä pelottavan nollapäivän hyväksikäyttö, ammattikieltä, jota käytetään turva-aikoihin, jotka pahat miehet löytävät ensin ja pitävät itsellään.
Zimbra on siksi varoittanut asiakkaitaan asentamaan korjauksen itse käsin, mikä vaatii yhden rivin muokkauksen yhteen datatiedostoon tuotteen asennushakemistossa.
Zimbra ei aivan käyttänyt Naked Securityn omaa riimimäistä muistutusta Älä viivyttele / tee se tänään, mutta yhtiön teknikot sanoivat jotain samalla kiireellisyydellä omassaan virallinen turvallisuustiedote:
Toimia. Käytä korjausta manuaalisesti.
Ymmärrämme, että saatat haluta ryhtyä toimiin ennemmin tai myöhemmin suojataksesi tietosi.
Korkeimman suojaustason ylläpitämiseksi pyydämme ystävällisesti yhteistyötäsi ja otat korjauksen käyttöön manuaalisesti kaikkiin postilaatikkosi solmuihin.
XSS selitti
Yksinkertaisesti sanottuna XSS-hyökkäykset sisältävät yleensä palvelimen huijaamisen luomaan verkkosivun joka sisältää luotettavasti ulkopuolelta lähetetyt tiedot, tarkistamatta, että tiedot on turvallista lähettää suoraan käyttäjän selaimeen.
Niin uteliaalta (tai epätodennäköiseltä) kuin tämä saattaa aluksi kuulostaakin, muista, että syötteiden toistaminen tai heijastaminen takaisin selaimeesi on täysin normaalia esimerkiksi silloin, kun sivusto haluaa vahvistaa juuri syöttämäsi tiedot tai raportoida Hae.
Jos selaat esimerkiksi ostossivustoa ja haluat nähdä, oliko heillä myytävänä pyhiä malleja, sinun pitäisi kirjoittaa Holy Grail
hakukenttään, joka saattaa päätyä lähettämään sivustolle seuraavanlaisen URL-osoitteen:
https://example.com/search/?product=Holy%20Grail
(URL-osoitteet eivät voi sisältää välilyöntejä, joten selaimesi muuntaa sanojen välisen välilyönnin muotoon %20
, jossa 20 on avaruuden ASCII-koodi heksadesimaalimuodossa.)
Etkä olisi yllättynyt nähdessäsi samat sanat toistuvan sivulla, joka palasi, esimerkiksi näin:
Hait: Holy Grail Anteeksi. Meillä ei ole yhtään varastossa.
Kuvittele nyt, että yritit etsiä outoa nimettyä tuotetta nimeltä a Holy<br>Grail
sen sijaan vain nähdäksesi mitä tapahtui.
Jos sait takaisin sivulle jotain tällaista…
Hait: Holy Grail Anteeksi. Meillä ei ole yhtään varastossa.
… sen sijaan, mitä odotit, nimittäin…
Hait sanalla: Pyhä Graal Anteeksi. Meillä ei ole yhtään varastossa.
… silloin tietäisit heti, että toisessa päässä oleva palvelin oli huolimaton niin kutsuttujen "erikoismerkkien" kanssa, kuten <
(alle-merkki) ja >
(suurempi kuin merkki), joita käytetään määrittämään HTML-komentoja, ei vain HTML-tietoja.
HTML-sekvenssi <br>
ei kirjaimellisesti tarkoita "näytä tekstiä pienempi kuin merkki kirjain-b kirjain-r suurempi kuin merkki", mutta on sen sijaan HTML-tunniste tai komento, joka tarkoittaa "lisää rivinvaihto tähän kohtaan".
Palvelimen, joka haluaa lähettää selaimellesi vähemmän kuin -merkin tulostettavaksi näytölle, on käytettävä erityistä järjestystä <
sen sijaan. (Suurempi kuin -merkit, kuten voit kuvitella, on koodattu muotoon >
.)
Tietenkin tämä tarkoittaa, että et-merkki (&
) on myös erityinen merkitys, joten tulostettavat et-merkit on koodattava &
, ja lainausmerkit ("
) ja lainausmerkit tai heittomerkit ('
).
Tosielämässä sivustojen välisten komentosarjojen tulostemppujen ongelma ei ole "enimmäkseen vaarattomat" HTML-komennot, kuten <br>
, joka häiritsee sivun asettelua, mutta vaaralliset HTML-tunnisteet, kuten <script>
, joiden avulla voit upottaa JavaScript-koodin sinne, suoraan itse verkkosivulle.
Kun olet huomannut, että sivusto ei osaa etsiä <br>
oikein, seuraava yritys saattaa olla etsiä jotain vastaavaa Holy<script>alert('Ooops')</script>Grail
sen sijaan.
Jos hakutermi palautetaan täsmälleen sellaisena kuin sen alun perin lähetit, JavaScript-toiminto suoritetaan alert()
ja avataksesi selaimeesi viestin, jossa sanotaan Ooops
.
Kuten voit kuvitella, roistot, jotka löytävät kuinka myrkyttää verkkosivustoja kokeilulla alert()
ponnahdusikkunat siirtyvät nopeasti käyttämään uutta löydettyä XSS-aukkoaan tehdäkseen paljon mutkikkaampia toimintoja.
Näitä voivat olla tiliisi liittyvien tietojen hakeminen tai muokkaaminen, viestien lähettäminen tai toimintojen valtuuttaminen sinun nimissäsi ja kenties todennusevästeiden haltuunotto, jonka avulla rikolliset itse kirjautuvat takaisin tilillesi myöhemmin.
Muuten, yksirivinen korjaustiedosto, jota sinua kehotetaan käyttämään Zimbra-tuotehakemistossa, sisältää kohteen vaihtamisen sisäänrakennetussa verkkolomakkeessa tästä…
…turvallisempaan muotoon, jotta value
-kenttä (joka lähetetään selaimellesi tekstinä, mutta sitä ei koskaan näytetä, joten et edes tiedä sen olevan siellä, kun käytät sivustoa) on rakennettu seuraavasti:
Tämä uuden ilmeen rivi kertoo palvelimen (joka on kirjoitettu Java-kielellä) käyttämään turvatietoista Java-toimintoa escapeXml()
arvoon st
kenttä ensin.
Kuten olet luultavasti arvannut, escapeXml()
varmistaa, että kaikki jäämät <
, >
, &
, "
ja '
merkkijonon merkit kirjoitetaan uudelleen niiden oikeissa ja XSS-kestävissä muodoissa käyttäen <
, >
, &
, "
ja '
sen sijaan.
Turvallisuus ennen kaikkea!
Mitä tehdä?
Seuraa käsin paikkausohjeet Zimbran verkkosivuilla.
Oletamme, että yritykset, jotka pyörittävät omia Zimbra-esiintymiä (tai maksavat jollekin muulle niiden suorittamisesta heidän puolestaan), eivät löydä korjaustiedoston suorittamista teknisesti monimutkaisesti, ja ne luovat nopeasti mukautetun komentosarjan tai ohjelman tehdäkseen sen heidän puolestaan.
Älä vain unohda, että sinun täytyy toista korjausprosessi, kuten Zimbra muistuttaa, kaikissa postilaatikon solmuissa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- absoluuttinen
- pääsy
- Pääsy
- Tili
- poikki
- Toiminta
- toimet
- edistää
- Kaikki
- sallia
- pitkin
- amp
- an
- ja
- Toinen
- Kaikki
- sovellettu
- käyttää
- OVAT
- AS
- At
- Hyökkäykset
- Authentication
- kirjoittaja
- auto
- pois
- takaisin
- background-image
- Huono
- BE
- koska
- ollut
- puolesta
- ovat
- välillä
- reunus
- pohja
- Laatikko
- Tauko
- selain
- Selaaminen
- Vika
- sisäänrakennettu
- mutta
- by
- nimeltään
- tuli
- CAN
- keskus
- mahdollisuus
- muuttuviin
- merkki
- merkkejä
- tarkkailun
- lähellä
- koodi
- yhteistyö
- väri
- Yritykset
- yritys
- monimutkainen
- luottamuksellisuus
- Vahvistaa
- sisältää
- pitoisuus
- muunnetaan
- keksit
- yhteistyö
- korjata
- Kurssi
- kattaa
- luoda
- rikolliset
- utelias
- asiakassuhde
- Asiakkaat
- Vaarallinen
- tiedot
- yksityiskohdat
- suoraan
- löytää
- näyttö
- do
- ei
- Don
- Dont
- vaikutus
- muu
- Upottaa
- loppu
- tarpeeksi
- varmistaa
- astui sisään
- olennaisesti
- Jopa
- esimerkki
- odottaa
- ala
- filee
- Asiakirjat
- Löytää
- Etunimi
- Korjata
- seuraa
- varten
- muoto
- muoto
- alkaen
- toiminto
- tuottaa
- antaa
- arvattu
- hakata
- HAD
- käsi
- kahva
- tapahtui
- Olla
- korkeus
- kätketty
- suurin
- historia
- pitää
- Reikä
- Holes
- liihottaa
- Miten
- Miten
- HTML
- HTTPS
- if
- kuvitella
- heti
- Vaikutus
- in
- sisältää
- sisältää
- panos
- asennus
- esimerkki
- sen sijaan
- eheys
- tulee
- aiheuttaa
- IT
- SEN
- itse
- ammattikieli
- Jaava
- JavaScript
- heinäkuu
- vain
- Pitää
- Tietää
- tunnettu
- myöhemmin
- Layout
- vasemmalle
- antaa
- Taso
- elämä
- pitää
- linja
- log
- Kirjaudu sisään
- ylläpitää
- TEE
- käsin
- Marginaali
- max-width
- Saattaa..
- merkitys
- välineet
- vain
- viesti
- viestien
- ehkä
- lisää
- paljon
- nimi
- Tarve
- tarvitaan
- tarvitsevat
- tarpeet
- ei ikinä
- seuraava
- solmut
- normaali
- nyt
- of
- on
- ONE
- toiminta
- Operations
- operaattori
- or
- Muut
- muuten
- ulos
- ulostulo
- yli
- oma
- sivulla
- sivut
- läikkä
- kauneuspilkku
- Paavali
- Maksaa
- Suorittaa
- esittävä
- ehkä
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- myrkky
- pop
- sijainti
- Viestejä
- mahdollisesti
- tarkasti
- Painaa
- yksityinen
- todennäköisesti
- Ongelma
- Tuotteet
- Ohjelma
- asianmukaisesti
- suojella
- julkaistu
- Työnnä
- laittaa
- nopeasti
- pikemminkin
- Lukeminen
- todellinen
- oikea elämä
- vastaanottaa
- suhteellinen
- merkityksellinen
- muistaa
- toistuva
- raportti
- pyyntö
- Vaatii
- tutkija
- tulokset
- oikein
- ajaa
- turvallista
- turvallisempaa
- Said
- myynti
- sama
- sanonta
- sanoo
- Näytön
- skriptejä
- Haku
- haku
- turvallisuus
- nähdä
- lähettää
- lähettäminen
- lähetetty
- Järjestys
- Ostokset
- Lyhyt
- esitetty
- merkki
- Signs
- single
- paikka
- Luihu
- So
- Tuotteemme
- vankka
- Joku
- jotain
- kuulostaa
- Tila
- tilat
- erityinen
- Varastossa
- jono
- toimitettu
- niin
- sviitti
- yllättynyt
- SVG
- Vaihtaa
- TAG
- ottaa
- teknisesti
- kertoo
- termi
- kuin
- että
- -
- heidän
- Niitä
- itse
- Siellä.
- siksi
- ne
- tätä
- Kautta
- että
- tokens
- liian
- ylin
- kauppa
- siirtyminen
- läpinäkyvä
- oikeudenkäynti
- kokeillut
- VUORO
- kääntyy
- tyyppi
- ymmärtää
- epätodennäköinen
- kiireellisyys
- kiireellinen
- URL
- käyttää
- käytetty
- käyttämällä
- yleensä
- arvo
- versio
- hyvin
- kautta
- alttius
- haluta
- halusi
- haluaa
- varoitus
- oli
- we
- verkko
- Verkkosivu
- sivustot
- olivat
- Mitä
- kun
- joka
- vaikka
- KUKA
- leveys
- tulee
- with
- ilman
- sanoja
- olisi
- kirjallinen
- X
- XSS
- vielä
- Voit
- Sinun
- zephyrnet