Produk kolaborasi populer yang dimiliki Zimbra pelanggan yang diperingatkan untuk segera menerapkan tambalan perangkat lunak untuk menutup lubang keamanan yang dikatakannya “berpotensi memengaruhi kerahasiaan dan integritas data Anda.”
Kerentanan inilah yang dikenal sebagai bug XSS, kependekan dari skrip lintas situs, di mana melakukan operasi yang tampak tidak bersalah melalui situs X, seperti mengeklik ke situs Y, memberi operator situs X kesempatan licik untuk menanamkan kode JavaScript palsu ke dalam laman web yang diterima kembali oleh browser Anda dari Y.
Ini, pada gilirannya, berarti bahwa X mungkin berakhir dengan akses ke akun Anda di situs Y, dengan membacakan dan bahkan mungkin mengubah data yang seharusnya bersifat pribadi untuk Y, seperti detail akun Anda, cookie masuk, token autentikasi, riwayat transaksi , dan seterusnya.
Singkatan XSS adalah nama deskriptif diri, karena roguery pada dasarnya melibatkan mendorong skrip yang tidak tepercaya dari satu situs ke konten tepercaya dari situs lain…
…semuanya tanpa perlu membobol situs lain terlebih dahulu untuk meretas file HTML atau kode JavaScriptnya secara langsung.
Ditambal tetapi tidak dipublikasikan
Meskipun bug tersebut sekarang telah ditambal dalam kode Zimbra, dan perusahaan mengatakan demikian "itu telah menerapkan perbaikan ini ke rilis Juli", belum menerbitkan versi itu.
Namun tambalan itu ternyata cukup mendesak untuk segera dibutuhkan, karena terlihat di a serangan dunia maya nyata oleh peneliti keamanan di Google.
Itu membuatnya ditakuti eksploitasi nol hari, istilah jargon yang digunakan untuk lubang keamanan yang pertama kali ditemukan oleh Orang Jahat dan disimpan sendiri.
Oleh karena itu, Zimbra telah memperingatkan pelanggannya untuk menerapkan perbaikan sendiri secara manual, yang memerlukan pengeditan baris tunggal ke satu file data di direktori instalasi produk.
Zimbra tidak cukup menggunakan pengingat berima milik Naked Security Jangan menunda/Lakukan hari ini, tetapi teknisi perusahaan mengatakan sesuatu dengan tingkat urgensi yang sama buletin keamanan resmi:
Mengambil tindakan. Terapkan Perbaiki Secara Manual.
Kami memahami bahwa Anda mungkin ingin segera mengambil tindakan untuk melindungi data Anda.
Untuk mempertahankan tingkat keamanan tertinggi, kami dengan hormat meminta kerja sama Anda untuk menerapkan perbaikan secara manual di semua node kotak surat Anda.
XSS menjelaskan
Sederhananya, serangan XSS biasanya melibatkan penipuan server untuk membuat halaman web yang terpercaya termasuk data yang disampaikan dari luar, tanpa memeriksa apakah data aman untuk dikirim langsung ke browser pengguna.
Meski terdengar aneh (atau tidak mungkin) seperti ini pada awalnya, ingatlah bahwa mengulangi atau mencerminkan masukan kembali ke browser Anda adalah hal yang normal, misalnya ketika sebuah situs ingin mengonfirmasi data yang baru saja Anda masukkan atau melaporkan hasil dari mencari.
Jika Anda menjelajahi situs belanja, misalnya, dan Anda ingin melihat apakah ada Holy Grail yang dijual, Anda akan mengetik Holy Grail
ke dalam kotak telusur, yang mungkin akan dikirimkan ke situs dalam URL seperti ini:
https://example.com/search/?product=Holy%20Grail
(URL tidak boleh berisi spasi, jadi karakter spasi di antara kata-kata diubah oleh browser Anda menjadi %20
, di mana 20 adalah kode ASCII untuk spasi dalam heksadesimal.)
Dan Anda tidak akan terkejut melihat kata-kata yang sama berulang di halaman yang kembali, misalnya seperti ini:
Anda mencari: Holy Grail Maaf. Kami tidak memiliki stok.
Sekarang bayangkan Anda mencoba mencari produk dengan nama aneh bernama a Holy<br>Grail
sebaliknya, hanya untuk melihat apa yang terjadi.
Jika Anda mendapatkan kembali halaman seperti ini…
Anda mencari: Holy Grail Maaf. Kami tidak memiliki stok.
…bukan dari apa yang Anda harapkan, yaitu…
Anda mencari: Kudus Grail Maaf. Kami tidak memiliki stok.
…maka Anda akan segera tahu bahwa server di ujung sana ceroboh dengan apa yang disebut karakter “khusus” seperti <
(kurang dari tanda) dan >
(lebih besar dari tanda), yang digunakan untuk menentukan perintah HTML, bukan hanya data HTML.
Urutan HTML <br>
tidak secara harfiah berarti “menampilkan teks kurang dari tanda huruf-b huruf-r lebih besar dari tanda", tetapi sebaliknya merupakan tag HTML, atau perintah, yang berarti "masukkan jeda baris pada titik ini".
Server yang ingin mengirimkan tanda kurang dari pada browser Anda untuk dicetak di layar perlu menggunakan urutan khusus <
alih-alih. (Tanda lebih besar dari, seperti yang bisa Anda bayangkan, dikodekan sebagai >
.)
Tentu saja, ini berarti karakter ampersand (&
) memiliki arti khusus juga, jadi ampersand-to-be-printed-out harus dikodekan sebagai &
, bersama dengan tanda kutip ganda ("
) dan tanda kutip tunggal atau apostrof ('
).
Dalam kehidupan nyata, masalah dengan tipuan keluaran skrip lintas situs bukanlah perintah HTML yang “sebagian besar tidak berbahaya” seperti <br>
, yang mengganggu tata letak halaman, tetapi tag HTML berbahaya seperti <script>
, yang memungkinkan Anda menyematkan kode JavaScript di sana, langsung di halaman web itu sendiri.
Setelah Anda melihat bahwa sebuah situs tidak menangani pencarian <br>
baik, upaya Anda berikutnya mungkin untuk mencari sesuatu seperti Holy<script>alert('Ooops')</script>Grail
sebagai gantinya.
Jika istilah pencarian itu dikembalikan tepat seperti yang Anda kirimkan pertama kali, efeknya adalah menjalankan fungsi JavaScript alert()
dan untuk memunculkan pesan di browser Anda mengatakan Ooops
.
Seperti yang dapat Anda bayangkan, penjahat yang menemukan cara meracuni situs web dengan percobaan alert()
popup dengan cepat beralih menggunakan lubang XSS yang baru ditemukan untuk melakukan operasi yang jauh lebih licik.
Ini mungkin termasuk mengambil atau memodifikasi data yang relevan dengan akun Anda, mengirim pesan atau mengizinkan tindakan atas nama Anda, dan mungkin mengambil cookie otentikasi yang akan memungkinkan penjahat itu sendiri masuk kembali ke akun Anda nanti.
Kebetulan, tambalan satu baris yang Anda anjurkan untuk diterapkan di direktori produk Zimbra melibatkan perubahan item dalam formulir web bawaan dari ini…
…ke dalam format yang lebih aman, sehingga value
bidang (yang akan dikirim ke browser Anda sebagai teks tetapi tidak pernah ditampilkan, jadi Anda bahkan tidak akan tahu itu ada saat mengakses situs) dibuat sebagai berikut:
Baris tampilan baru ini memberi tahu server (yang ditulis dalam Java) untuk menerapkan fungsi Java yang sadar akan keamanan escapeXml()
dengan nilai st
lapangan terlebih dahulu.
Seperti yang mungkin sudah Anda duga, escapeXml()
memastikan bahwa setiap sisa <
, >
, &
, "
dan '
karakter dalam string teks ditulis ulang dalam format yang benar dan tahan XSS, menggunakan <
, >
, &
, "
dan '
sebagai gantinya.
Keselamatan pertama!
Apa yang harus dilakukan?
Ikuti instruksi tambalan tangan di situs web Zimbra.
Kami berasumsi bahwa perusahaan yang menjalankan instans Zimbra mereka sendiri (atau membayar orang lain untuk menjalankannya atas nama mereka) tidak akan menganggap tambalan rumit secara teknis untuk dilakukan, dan akan segera membuat skrip atau program khusus untuk melakukannya untuk mereka.
Hanya saja, jangan lupa bahwa Anda perlu melakukannya ulangi proses patching, seperti yang diingatkan oleh Zimbra, pada semua node kotak surat Anda.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Mutlak
- mengakses
- mengakses
- Akun
- di seluruh
- Tindakan
- tindakan
- memajukan
- Semua
- mengizinkan
- sepanjang
- amp
- an
- dan
- Lain
- Apa pun
- terapan
- Mendaftar
- ADALAH
- AS
- At
- Serangan
- Otentikasi
- penulis
- mobil
- jauh
- kembali
- background-image
- Buruk
- BE
- karena
- menjadi
- nama
- makhluk
- antara
- batas
- Bawah
- Kotak
- Istirahat
- Browser
- Browsing
- Bug
- built-in
- tapi
- by
- bernama
- datang
- CAN
- pusat
- kesempatan
- mengubah
- karakter
- karakter
- memeriksa
- Penyelesaian
- kode
- kolaborasi
- warna
- Perusahaan
- perusahaan
- kompleks
- kerahasiaan
- Memastikan
- mengandung
- Konten
- dikonversi
- kue
- kerja sama
- benar
- Kelas
- menutupi
- membuat
- Penjahat
- ingin tahu
- adat
- pelanggan
- Berbahaya
- data
- rincian
- langsung
- menemukan
- Display
- do
- Tidak
- don
- Dont
- efek
- lain
- menanamkan
- akhir
- cukup
- Memastikan
- masuk
- dasarnya
- Bahkan
- contoh
- mengharapkan
- bidang
- File
- File
- Menemukan
- Pertama
- Memperbaiki
- berikut
- Untuk
- bentuk
- format
- dari
- fungsi
- menghasilkan
- memberikan
- menebak
- terjangan
- memiliki
- tangan
- menangani
- terjadi
- Memiliki
- tinggi
- Tersembunyi
- paling tinggi
- sejarah
- memegang
- Lubang
- Lubang
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTML
- HTTPS
- if
- membayangkan
- segera
- Dampak
- in
- memasukkan
- termasuk
- memasukkan
- instalasi
- contoh
- sebagai gantinya
- integritas
- ke
- melibatkan
- IT
- NYA
- Diri
- jargon
- Jawa
- JavaScript
- Juli
- hanya
- Menjaga
- Tahu
- dikenal
- kemudian
- tata ruang
- meninggalkan
- membiarkan
- Tingkat
- Hidup
- 'like'
- baris
- mencatat
- masuk
- memelihara
- MEMBUAT
- manual
- Margin
- max-width
- Mungkin..
- makna
- cara
- hanya
- pesan
- pesan
- mungkin
- lebih
- banyak
- nama
- Perlu
- dibutuhkan
- membutuhkan
- kebutuhan
- tak pernah
- berikutnya
- node
- normal
- sekarang
- of
- on
- ONE
- operasi
- Operasi
- operator
- or
- Lainnya
- jika tidak
- di luar
- keluaran
- lebih
- sendiri
- halaman
- halaman
- tambalan
- Menambal
- paul
- Membayar
- Melakukan
- melakukan
- mungkin
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- racun
- pop
- posisi
- Posts
- berpotensi
- tepat
- Mencetak
- swasta
- mungkin
- Masalah
- Produk
- program
- tepat
- melindungi
- diterbitkan
- Mendorong
- menempatkan
- segera
- agak
- Bacaan
- nyata
- kehidupan nyata
- menerima
- relatif
- relevan
- ingat
- ulang
- melaporkan
- permintaan
- membutuhkan
- peneliti
- Hasil
- benar
- Run
- aman
- lebih aman
- Tersebut
- penjualan
- sama
- mengatakan
- mengatakan
- Layar
- script
- Pencarian
- mencari
- keamanan
- melihat
- mengirim
- mengirim
- mengirim
- Urutan
- tas
- Pendek
- ditunjukkan
- menandatangani
- Tanda
- tunggal
- situs web
- Sneaky
- So
- Perangkat lunak
- padat
- Seseorang
- sesuatu
- Suara
- Space
- spasi
- khusus
- saham
- Tali
- disampaikan
- seperti itu
- rangkaian
- tercengang
- SVG
- Beralih
- MENANDAI
- Mengambil
- teknis
- mengatakan
- istilah
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- Sana.
- karena itu
- mereka
- ini
- Melalui
- untuk
- Token
- terlalu
- puncak
- .
- transisi
- jelas
- percobaan
- mencoba
- MENGHIDUPKAN
- ternyata
- mengetik
- memahami
- mungkin
- urgensi
- mendesak
- URL
- menggunakan
- bekas
- menggunakan
- biasanya
- nilai
- versi
- sangat
- melalui
- kerentanan
- ingin
- ingin
- ingin
- peringatan
- adalah
- we
- jaringan
- Situs Web
- situs web
- adalah
- Apa
- ketika
- yang
- sementara
- SIAPA
- lebar
- akan
- dengan
- tanpa
- kata
- akan
- tertulis
- X
- XSS
- namun
- Kamu
- Anda
- zephyrnet.dll