A Zimbra népszerű együttműködési terméke figyelmeztette az ügyfeleket hogy sürgősen telepítsen egy szoftverjavítást a biztonsági rések bezárásához "potenciálisan befolyásolhatja az Ön adatainak bizalmasságát és integritását."
A sérülékenység az úgynevezett XSS hiba, a rövidítés webhelyek közötti szkriptek, amikor az X webhelyen keresztül ártatlannak tűnő műveletet hajt végre, például átkattint az Y webhelyre, és az X webhely üzemeltetője alattomos esélyt ad arra, hogy szélhámos JavaScript-kódot ültessen be azokra a weboldalakra, amelyeket a böngészője visszakap Y-tól.
Ez viszont azt jelenti, hogy X hozzáférhet az Ön fiókjához az Y webhelyen, oly módon, hogy kiolvassa és esetleg módosítja azokat az adatokat, amelyek egyébként Y számára privátak lennének, mint például a fiókadatok, a bejelentkezési cookie-k, a hitelesítési tokenek, a tranzakciós előzmények. , stb.
Az XSS rövidítés egy önleíró név, mivel a csalás lényegében abban áll, hogy nem megbízható szkripteket helyeznek át az egyik webhelyről egy másik webhely egyébként megbízható tartalmára…
… mindezt anélkül, hogy előre be kellene törnie a másik webhelyre, hogy közvetlenül feltörje a HTML-fájlokat vagy a JavaScript-kódot.
Foltozva, de nem publikálva
Bár a hibát most befoltozták a Zimbra kódjában, és ezt a cég szerint is „Ezt a javítást alkalmazta a júliusi kiadásra”, még nem tette közzé ezt a verziót.
De a tapasz elég sürgősnek bizonyul ahhoz, hogy azonnal szükség legyen rá, mert a valós kibertámadás a Google biztonsági kutatója.
Ez félelmetessé teszi nulla napos kizsákmányolás, a zsargon kifejezést a biztonsági résekre használják, amelyeket a Rosszfiúk először találnak meg, és megtartanak maguknak.
A Zimbra ezért figyelmeztette ügyfeleit, hogy maguk végezzék el a javítást kézzel, amihez egyetlen soros szerkesztés szükséges a termék telepítési könyvtárában található egyetlen adatfájlon.
Zimbra nem egészen a Naked Security saját rímelő emlékeztetőjét használta Ne késlekedj/Tedd meg még ma, de a cég technikusai ugyanolyan sürgősséggel mondtak valamit a sajátjukban hivatalos biztonsági közlemény:
Cselekszik. Alkalmazza a javítást manuálisan.
Tisztában vagyunk vele, hogy érdemes lehet előbb, mint utóbb intézkedni adatai védelmében.
A legmagasabb szintű biztonság megőrzése érdekében kérjük együttműködését a javítás manuális alkalmazásában az összes postafiók-csomóponton.
XSS elmagyarázta
Egyszerűen fogalmazva, az XSS-támadások általában azt jelentik, hogy egy szervert rávesznek, hogy weboldalt generáljon amely bizalommal magában foglalja a kívülről beküldött adatokat, anélkül, hogy ellenőrizné, hogy az adatok biztonságosan elküldhetők-e közvetlenül a felhasználó böngészőjébe.
Bármilyen furcsának (vagy bármilyen valószínűtlennek is) hangzik ez elsőre, ne feledje, hogy a bevitel megismétlése vagy visszatükrözése a böngészőben teljesen normális jelenség, például amikor egy webhely meg akarja erősíteni az imént bevitt adatokat, vagy jelenteni akarja egy keresés.
Ha például egy bevásárló webhelyet böngészik, és meg szeretné nézni, van-e eladó Szent Grál, akkor be kell írnia Holy Grail
egy keresőmezőbe, amely végül egy ilyen URL-címmel kerülhet be a webhelyre:
https://example.com/search/?product=Holy%20Grail
(Az URL-címek nem tartalmazhatnak szóközt, ezért a szavak közötti szóköz karaktert a böngésző konvertálja erre %20
, ahol a 20 a szóköz ASCII-kódja hexadecimális formában.)
És nem lennél meglepve, ha ugyanazokat a szavakat látnád ismétlődően a visszatérő oldalon, például így:
A következőre keresett: Holy Grail Elnézést. Nincs raktáron.
Most képzelje el, hogy egy bizarr nevű termékre próbált rákeresni, az a Holy<br>Grail
ehelyett csak azért, hogy lássam, mi történt.
Ha visszakapsz egy ehhez hasonló oldalt…
A következőre keresett: Holy Grail Elnézést. Nincs raktáron.
…ahelyett, amit elvárna, nevezetesen…
A következőre keresett: Szent Grál Bocsánat. Nincs raktáron.
…akkor azonnal tudnád, hogy a másik végén lévő szerver figyelmetlen az úgynevezett „speciális” karakterekkel, mint pl. <
(kisebb jel) és >
(nagyobb, mint jel), amelyek nem pusztán HTML-adatok, hanem HTML-parancsok megadására szolgálnak.
A HTML sorozat <br>
nem szó szerint azt jelenti, hogy „a szöveg megjelenítése kisebb-mint jel betű-b betű-r nagyobb-jel", hanem egy HTML címke vagy parancs, ami azt jelenti, hogy "szúrjon be egy sortörést ezen a ponton".
Annak a kiszolgálónak, amely egy kisebb jelet akar küldeni a böngészőnek a képernyőre való nyomtatáshoz, speciális sorrendet kell használnia <
helyette. (Amint elképzelhető, a nagyobb, mint jelek kódolása így történik >
.)
Ez természetesen azt jelenti, hogy az „és” karakter (&
) is különleges jelentéssel bír, ezért a kinyomtatandó „és” jeleket úgy kell kódolni, mint &
, dupla idézőjelekkel együtt ("
) és szimpla idézőjelek vagy aposztróf jelek ('
).
A való életben a helyek közötti szkriptelhető kimeneti trükkök problémája nem a „leginkább ártalmatlan” HTML-parancsok, mint pl. <br>
, ami megzavarja az oldal elrendezését, de veszélyes HTML címkék, mint pl <script>
, amelyek lehetővé teszik a JavaScript kód beágyazását közvetlenül a weboldalba.
Miután észrevette, hogy egy webhely nem kezeli a keresést <br>
megfelelően, a következő próbálkozás az lehet, hogy valami hasonlót keres Holy<script>alert('Ooops')</script>Grail
helyette.
Ha a keresési kifejezést pontosan úgy adja vissza, ahogy először elküldte, akkor a hatás a JavaScript-függvény futtatása lesz alert()
és egy üzenetet jelenít meg a böngészőjében, amely azt mondja Ooops
.
Képzelheti, a szélhámosok, akik rájönnek, hogyan mérgezhetik meg a webhelyeket próbajátékkal alert()
A felugró ablakok gyorsan átváltanak az újonnan talált XSS-lyuk használatára, hogy sokkal körülményesebb műveleteket hajtsanak végre.
Ezek közé tartozhat a fiókjával kapcsolatos adatok lekérése vagy módosítása, üzenetek küldése vagy műveletek engedélyezése az Ön nevében, és esetleg hitelesítési cookie-k megragadása, amelyek lehetővé teszik a bűnözők számára, hogy később közvetlenül bejelentkezzenek az Ön fiókjába.
Egyébként az egysoros javítás, amelyet a Zimbra termékkatalógusában kérnek, egy elem módosítását foglalja magában egy beépített webes űrlapon ebből…
…biztonságosabb formátumba, hogy a value
mező (amely szövegként kerül elküldésre a böngészőjének, de soha nem jelenik meg, így nem is fogja tudni, hogy ott van az oldal elérésekor) a következőképpen épül fel:
Ez az új megjelenésű sor arra utasítja a szervert (amely Java nyelven íródott), hogy alkalmazza a biztonságtudatos Java funkciót escapeXml()
értékéhez a st
mező először.
Ahogy valószínűleg sejtette, escapeXml()
biztosítja, hogy minden maradék <
, >
, &
, "
és a '
A szöveges karakterlánc karakterei átírásra kerülnek a megfelelő és XSS-álló formátumukban, a használatával <
, >
, &
, "
és a '
helyette.
Első a biztonság!
Mit kell tenni?
Kövesse a kézi foltozási utasítások a Zimbra honlapján.
Feltételezzük, hogy azok a cégek, amelyek saját Zimbra-példányaikat futtatják (vagy fizetnek valaki másnak, hogy futtassa azokat a nevükben), a javítás végrehajtása technikailag nem bonyolult, és gyorsan létrehoznak egy egyedi szkriptet vagy programot, amely ezt megteszi helyettük.
Csak ne felejtsd el, hogy szükséged van rá ismételje meg a foltozási folyamatot, ahogy Zimbra emlékeztet, minden postafiók csomópontján.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Abszolút
- hozzáférés
- Hozzáférés
- Fiók
- át
- Akció
- cselekvések
- előre
- Minden termék
- lehetővé
- mentén
- amp
- an
- és a
- Másik
- bármilyen
- alkalmazott
- alkalmaz
- VANNAK
- AS
- At
- Támadások
- Hitelesítés
- szerző
- auto
- el
- vissza
- background-image
- Rossz
- BE
- mert
- óta
- nevében
- hogy
- között
- határ
- Alsó
- Doboz
- szünet
- böngésző
- Legelészés
- Bogár
- beépített
- de
- by
- hívott
- jött
- TUD
- Központ
- esély
- változó
- karakter
- karakter
- ellenőrzése
- közel
- kód
- együttműködés
- szín
- Companies
- vállalat
- bonyolult
- titoktartási
- megerősít
- tartalmaz
- tartalom
- átalakított
- keksz
- együttműködés
- kijavítására
- Tanfolyam
- terjed
- teremt
- bűnözők
- kíváncsi
- szokás
- Ügyfelek
- Veszélyes
- dátum
- részletek
- közvetlenül
- felfedez
- kijelző
- do
- Nem
- Don
- ne
- hatás
- más
- Beágyaz
- végén
- elég
- biztosítja
- lépett
- lényegében
- Még
- példa
- vár
- mező
- filé
- Fájlok
- Találjon
- vezetéknév
- Rögzít
- következik
- A
- forma
- formátum
- ból ből
- funkció
- generáló
- ad
- kitalálta
- csapkod
- kellett
- kéz
- fogantyú
- történt
- Legyen
- magasság
- Rejtett
- legnagyobb
- történelem
- tart
- Lyuk
- Holes
- lebeg
- Hogyan
- How To
- HTML
- HTTPS
- if
- kép
- azonnal
- Hatás
- in
- tartalmaz
- magában foglalja a
- bemenet
- telepítés
- példa
- helyette
- sértetlenség
- bele
- vonja
- IT
- ITS
- maga
- zsargon
- Jáva
- JavaScript
- július
- éppen
- Tart
- Ismer
- ismert
- a későbbiekben
- elrendezés
- balra
- hadd
- szint
- élet
- mint
- vonal
- log
- Belépés
- fenntartása
- KÉSZÍT
- kézzel
- Margó
- max-width
- Lehet..
- jelenti
- eszközök
- csupán
- üzenet
- üzenetek
- esetleg
- több
- sok
- név
- Szükség
- szükséges
- igénylő
- igények
- soha
- következő
- csomópontok
- normális
- Most
- of
- on
- ONE
- működés
- Művelet
- operátor
- or
- Más
- másképp
- ki
- teljesítmény
- felett
- saját
- oldal
- oldalak
- Tapasz
- Foltozás
- Paul
- Fizet
- Teljesít
- előadó
- talán
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- méreg
- pop
- pozíció
- Hozzászólások
- potenciálisan
- pontosan
- magán
- valószínűleg
- Probléma
- Termékek
- Program
- megfelelően
- védelme
- közzétett
- Toló
- tesz
- gyorsan
- Inkább
- Olvasás
- igazi
- való élet
- kap
- relatív
- eszébe jut
- megismételt
- jelentést
- kérni
- megköveteli,
- kutató
- Eredmények
- jobb
- futás
- biztonságos
- biztonságosabb
- Mondott
- eladás
- azonos
- mondás
- azt mondja,
- Képernyő
- szkriptek
- Keresés
- keres
- biztonság
- lát
- küld
- elküldés
- küldött
- Sorozat
- Bevásárlás
- rövid
- mutatott
- <p></p>
- Jelek
- egyetlen
- weboldal
- Trükkös
- So
- szoftver
- szilárd
- Valaki
- valami
- hang
- Hely
- terek
- speciális
- készlet
- Húr
- benyújtott
- ilyen
- kíséret
- meglepődött
- SVG
- kapcsoló
- TAG
- Vesz
- technikailag
- megmondja
- kifejezés
- mint
- hogy
- A
- azok
- Őket
- maguk
- Ott.
- ebből adódóan
- ők
- ezt
- Keresztül
- nak nek
- tokenek
- is
- felső
- tranzakció
- átmenet
- átlátszó
- próba
- kipróbált
- FORDULAT
- fordul
- típus
- megért
- valószínűtlen
- sürgősség
- sürgős
- URL
- használ
- használt
- segítségével
- rendszerint
- érték
- változat
- nagyon
- keresztül
- sebezhetőség
- akar
- kívánatos
- akar
- figyelmeztetés
- volt
- we
- háló
- weboldal
- honlapok
- voltak
- Mit
- amikor
- ami
- míg
- WHO
- szélesség
- lesz
- val vel
- nélkül
- szavak
- lenne
- írott
- X
- XSS
- még
- te
- A te
- zephyrnet