Produit de collaboration populaire Zimbra a clients prévenus d'appliquer un correctif logiciel de toute urgence pour combler une faille de sécurité qu'il dit "pourrait potentiellement avoir un impact sur la confidentialité et l'intégrité de vos données."
La vulnérabilité est ce qu'on appelle un bogue XSS, abréviation de script inter-site, par lequel effectuer une opération d'apparence innocente via le site X, comme cliquer sur le site Y, donne à l'opérateur du site X une chance sournoise d'implanter un code JavaScript malveillant dans les pages Web que votre navigateur reçoit en retour de Y.
Ceci, à son tour, signifie que X peut finir par accéder à votre compte sur le site Y, en lisant et peut-être même en modifiant des données qui seraient autrement privées pour Y, telles que les détails de votre compte, les cookies de connexion, les jetons d'authentification, l'historique des transactions. , et ainsi de suite.
L'abréviation XSS est un nom auto-descriptif, car la fraude consiste essentiellement à pousser des scripts non fiables d'un site vers le contenu autrement fiable d'un autre site…
… le tout sans avoir besoin de s'introduire sur l'autre site à l'avance pour pirater directement ses fichiers HTML ou son code JavaScript.
Patché mais pas publié
Bien que le bogue ait maintenant été corrigé dans le code de Zimbra, et que la société affirme que "il a appliqué ce correctif à la version de juillet", il n'a pas encore publié cette version.
Mais le patch s'avère suffisamment urgent pour être nécessaire tout de suite, car il a été repéré dans un cyberattaque réelle par un chercheur en sécurité chez Google.
Cela en fait un redoutable exploit du jour zéro, le terme de jargon utilisé pour les failles de sécurité que les méchants trouvent en premier et gardent pour eux.
Zimbra a donc averti ses clients d'appliquer eux-mêmes le correctif à la main, ce qui nécessite une modification sur une seule ligne d'un seul fichier de données dans le répertoire d'installation du produit.
Zimbra n'a pas tout à fait utilisé le rappel de rimes de Naked Security Ne tardez pas/faites-le aujourd'hui, mais les techniciens de l'entreprise ont dit quelque chose avec le même niveau d'urgence dans leur propre bulletin de sécurité officiel:
Passer à l'action. Appliquer le correctif manuellement.
Nous comprenons que vous souhaitiez peut-être prendre des mesures le plus tôt possible pour protéger vos données.
Pour maintenir le plus haut niveau de sécurité, nous vous demandons de bien vouloir coopérer pour appliquer le correctif manuellement sur tous vos nœuds de boîte aux lettres.
XSS expliqué
En termes simples, les attaques XSS impliquent généralement d'inciter un serveur à générer une page Web qui inclut en toute confiance des données soumises de l'extérieur, sans vérifier que les données peuvent être envoyées directement au navigateur de l'utilisateur en toute sécurité.
Aussi curieux (ou aussi improbable) que cela puisse paraître au premier abord, rappelez-vous qu'il est tout à fait normal de répéter ou de refléter les entrées dans votre navigateur, par exemple lorsqu'un site souhaite confirmer les données que vous venez de saisir ou signaler les résultats d'une recherche.
Si vous naviguez sur un site d'achat, par exemple, et que vous vouliez voir s'il y avait des Holy Graals à vendre, vous vous attendriez à taper Holy Grail
dans un champ de recherche, qui pourrait finir par être soumis au site dans une URL comme celle-ci :
https://example.com/search/?product=Holy%20Grail
(Les URL ne peuvent pas contenir d'espaces, donc le caractère d'espacement entre les mots est converti par votre navigateur en %20
, où 20 est le code ASCII de l'espace en hexadécimal.)
Et vous ne seriez pas surpris de voir les mêmes mots répétés dans la page qui revient, par exemple comme ceci :
Vous avez cherché : Saint Graal Désolé. Nous n'en avons pas en stock.
Imaginez maintenant que vous essayez de rechercher un produit au nom bizarre appelé Holy<br>Grail
au lieu de cela, juste pour voir ce qui s'est passé.
Si vous avez récupéré une page quelque chose comme ça…
Vous avez cherché : Saint Graal Désolé. Nous n'en avons pas en stock.
…au lieu de ce à quoi vous vous attendiez, à savoir…
Votre recherche : Saint Graal Désolé. Nous n'en avons pas en stock.
…alors vous sauriez immédiatement que le serveur à l'autre bout était négligent avec des caractères dits "spéciaux" tels que <
(signe inférieur à) et >
(signe supérieur à), qui sont utilisés pour spécifier des commandes HTML, pas simplement des données HTML.
La séquence HTML <br>
ne signifie pas littéralement "afficher le texte signe inférieur à lettre-b lettre-r signe supérieur à", mais est plutôt une balise HTML, ou une commande, qui signifie "insérer un saut de ligne à ce stade".
Un serveur qui souhaite envoyer à votre navigateur un signe moins que pour l'imprimer à l'écran doit utiliser la séquence spéciale <
plutôt. (Les signes supérieurs à, comme vous pouvez l'imaginer, sont codés comme >
.)
Bien sûr, cela signifie que le caractère esperluette (&
) a également une signification particulière, donc les esperluettes à imprimer doivent être encodées comme &
, ainsi que des guillemets doubles ("
) et des guillemets simples ou des apostrophes ('
).
Dans la vraie vie, le problème avec la supercherie de sortie scriptable intersite n'est pas des commandes HTML "pour la plupart inoffensives" telles que <br>
, ce qui perturbe la mise en page, mais des balises HTML dangereuses telles que <script>
, qui vous permettent d'intégrer du code JavaScript directement dans la page Web elle-même.
Une fois que vous avez remarqué qu'un site ne gère pas la recherche de <br>
correctement, votre prochaine tentative pourrait être de rechercher quelque chose comme Holy<script>alert('Ooops')</script>Grail
à la place.
Si ce terme de recherche est renvoyé exactement comme vous l'avez envoyé en premier lieu, l'effet sera d'exécuter la fonction JavaScript alert()
et pour faire apparaître un message dans votre navigateur disant Ooops
.
Comme vous pouvez l'imaginer, les escrocs qui découvrent comment empoisonner les sites Web avec procès alert()
les popups passent rapidement à l'utilisation de leur nouveau trou XSS pour effectuer des opérations beaucoup plus sournoises.
Celles-ci peuvent inclure la récupération ou la modification de données pertinentes pour votre compte, l'envoi de messages ou l'autorisation d'actions en votre nom, et peut-être la saisie de cookies d'authentification qui permettront aux criminels eux-mêmes de se reconnecter directement à votre compte plus tard.
Incidemment, le correctif d'une ligne que vous êtes invité à appliquer dans le répertoire des produits Zimbra implique de modifier un élément dans un formulaire Web intégré à partir de ce…
…dans un format plus sûr, de sorte que le value
(qui sera envoyé à votre navigateur sous forme de texte mais jamais affiché, vous ne saurez donc même pas qu'il est là lors de l'accès au site) est construit comme suit :
Cette nouvelle ligne indique au serveur (qui est écrit en Java) d'appliquer la fonction Java soucieuse de la sécurité escapeXml()
à la valeur de la st
champ en premier.
Comme vous l'avez probablement deviné, escapeXml()
veille à ce que tout reste <
, >
, &
, "
et les '
les caractères d'une chaîne de texte sont réécrits dans leurs formats corrects et résistants au XSS, à l'aide <
, >
, &
, "
et les '
à la place.
La sécurité d'abord!
Que faire?
Suivez l' instructions de patchage à la main sur le site Web de Zimbra.
Nous supposons que les entreprises qui exécutent leurs propres instances Zimbra (ou paient quelqu'un d'autre pour les exécuter en leur nom) ne trouveront pas le correctif techniquement complexe à exécuter et créeront rapidement un script ou un programme personnalisé pour le faire à leur place.
N'oubliez pas que vous devez répéter le processus de patch, comme le rappelle Zimbra, sur tous vos nœuds de boîte aux lettres.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Absolute
- accès
- accès
- Compte
- à travers
- Action
- actes
- avancer
- Tous
- permettre
- le long de
- amp
- an
- et les
- Une autre
- tous
- appliqué
- Appliquer
- SONT
- AS
- At
- Attaques
- Authentification
- auteur
- auto
- et
- RETOUR
- image de fond
- Mal
- BE
- car
- était
- nom
- va
- jusqu'à XNUMX fois
- frontière
- Bas et Leggings
- Box
- Pause
- navigateur
- Parcourir
- Punaise
- intégré
- mais
- by
- appelé
- venu
- CAN
- Canaux centraux
- Chance
- en changeant
- caractère
- caractères
- vérification
- Fermer
- code
- collaboration
- Couleur
- Sociétés
- Société
- complexe
- confidentialité
- Confirmer
- contiennent
- contenu
- converti
- biscuits
- coopération
- correct
- Cours
- couverture
- engendrent
- Criminels
- curieux
- Customiser
- Clients
- dangereux
- données
- détails
- directement
- découvrez
- Commande
- do
- Ne fait pas
- Don
- Ne pas
- effet
- d'autre
- enchâsser
- fin
- assez
- Assure
- entré
- essentiellement
- Pourtant, la
- exemple
- attendre
- champ
- Déposez votre dernière attestation
- Fichiers
- Trouvez
- Prénom
- Fixer
- suit
- Pour
- formulaire
- le format
- De
- fonction
- générateur
- donne
- deviné
- entaille
- ait eu
- main
- manipuler
- arrivé
- Vous avez
- la taille
- caché
- le plus élevé
- Histoire
- appuyez en continu
- Trou
- des trous
- flotter
- Comment
- How To
- HTML
- HTTPS
- if
- image
- immédiatement
- Impact
- in
- comprendre
- inclut
- contribution
- installation
- instance
- plutôt ;
- intégrité
- développement
- impliquer
- IT
- SES
- lui-même
- jargon
- Java
- JavaScript
- Juillet
- juste
- XNUMX éléments à
- Savoir
- connu
- plus tard
- Disposition
- à gauche
- laisser
- Niveau
- VIE
- comme
- Gamme
- enregistrer
- vous connecter
- maintenir
- FAIT DU
- manuellement
- Marge
- largeur maximale
- Mai..
- sens
- veux dire
- seulement
- message
- messages
- pourrait
- PLUS
- beaucoup
- prénom
- Besoin
- nécessaire
- besoin
- Besoins
- n'allons jamais
- next
- nœuds
- Ordinaire
- maintenant
- of
- on
- ONE
- opération
- Opérations
- opérateur
- or
- Autre
- autrement
- ande
- sortie
- plus de
- propre
- page
- pages
- Pièce
- patcher
- paul
- Payer
- Effectuer
- effectuer
- être
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- poison
- pop
- position
- Poteaux
- l'éventualité
- précisément
- Imprimé
- Privé
- Probablement
- Problème
- Produit
- Programme
- correctement
- protéger
- publié
- Poussant
- mettre
- vite.
- plutôt
- en cours
- réal
- la vie réelle
- reçoit
- relatif
- pertinent
- rappeler
- répété
- rapport
- nécessaire
- a besoin
- chercheur
- Résultats
- bon
- Courir
- des
- plus sûre
- Saïd
- SOLDE
- même
- dire
- dit
- pour écran
- scripts
- Rechercher
- recherche
- sécurité
- sur le lien
- envoyer
- envoi
- envoyé
- Séquence
- Shopping
- Shorts
- montré
- signer
- Signes
- unique
- site
- Sournois
- So
- Logiciels
- solide
- Quelqu'un
- quelque chose
- Son
- Space
- espaces
- spécial
- stock
- Chaîne
- soumis
- tel
- suite
- surpris
- SVG
- Interrupteur
- TAG
- Prenez
- techniquement
- raconte
- terme
- que
- qui
- Le
- leur
- Les
- se
- Là.
- donc
- l'ont
- this
- Avec
- à
- Tokens
- trop
- top
- transaction
- transition
- communication
- procès
- essayé
- TOUR
- se tourne
- type
- comprendre
- improbable
- urgence
- urgent
- URL
- utilisé
- d'utiliser
- en utilisant
- d'habitude
- Plus-value
- version
- très
- via
- vulnérabilité
- souhaitez
- voulu
- veut
- avertissement
- était
- we
- web
- Site Web
- sites Internet
- ont été
- Quoi
- quand
- qui
- tout en
- WHO
- largeur
- sera
- comprenant
- sans
- des mots
- pourra
- code écrit
- X
- XSS
- encore
- Vous n'avez
- Votre
- zéphyrnet