Zimbraの人気コラボ商品 警告された顧客 セキュリティホールを塞ぐためにソフトウェアパッチを緊急に適用する 「データの機密性と完全性に影響を与える可能性があります。」
この脆弱性は、XSS バグとして知られているものです。 クロスサイトスクリプティングこれにより、サイト Y にクリックスルーするなど、サイト X 経由で一見無害に見える操作が実行されると、サイト X の運営者は、ブラウザが Y から受信した Web ページに不正な JavaScript コードを埋め込む卑劣な機会を得ることができます。
これは、X が、アカウントの詳細、ログイン Cookie、認証トークン、トランザクション履歴など、Y にとって非公開となるデータを読み取ったり、場合によっては変更したりすることにより、サイト Y 上のあなたのアカウントにアクセスできるようになる可能性があることを意味します。 、 等々。
XSS という略語は、自己記述的な名前です。なぜなら、この不正行為は本質的に、あるサイトから信頼されていないスクリプトを別のサイトの信頼できるコンテンツに押し込むことを伴うからです…
…事前に他のサイトに侵入して、その HTML ファイルや JavaScript コードを直接ハッキングする必要はありません。
パッチは適用されたが公開されていない
このバグは現在 Zimbra のコードで修正されており、同社は次のように述べています。 「この修正は XNUMX 月のリリースに適用されました」、そのバージョンはまだ公開されていません。
しかし、パッチはすぐに必要になるほど緊急であることが判明しました。 実際のサイバー攻撃 Googleのセキュリティ研究者による。
それは恐ろしいことだ ゼロデイエクスプロイト、悪者が最初に見つけて秘密にしているセキュリティ ホールを表す専門用語です。
そのためZimbraは顧客に対し、修正プログラムを自分で手動で適用するよう警告しているが、それには製品のインストールディレクトリにある単一のデータファイルをXNUMX行編集する必要がある。
Zimbra は、Naked Security 独自の韻を踏んだリマインダーをまったく使用していませんでした。 先延ばしにしないでください/今日実行してくださいしかし、会社の技術者たちは自分たちの中で同じレベルの緊急性を持って何かを言いました 公式セキュリティ情報:
行動を起こしましょう。 修正を手動で適用します。
データを保護するために、遅かれ早かれ行動を起こしたいと思われることを理解しています。
最高レベルのセキュリティを維持するために、すべてのメールボックス ノードに手動で修正を適用するようご協力をお願いいたします。
XSS の説明
簡単に言えば、XSS 攻撃には通常、サーバーをだまして Web ページを生成させることが含まれます。 外部から送信されたデータを信頼して含むデータがユーザーのブラウザに直接送信しても安全であることを確認せずに。
最初は奇妙に聞こえるかもしれませんが (またはありそうもないことですが)、入力を繰り返したり、ブラウザに反映させたりするのはまったく普通のことであることを覚えておいてください。たとえば、サイトが入力したばかりのデータを確認したい場合や、入力したばかりのデータを確認したい場合や、結果をレポートしたい場合などです。検索。
たとえば、ショッピング サイトを閲覧していて、聖杯が販売されているかどうかを確認したい場合は、次のように入力すると予想されます。 Holy Grail
検索ボックスに入力すると、次のような URL でサイトに送信される可能性があります。
https://example.com/search/?product=Holy%20Grail
(URL にはスペースを含めることはできないため、単語間のスペース文字はブラウザによって次のように変換されます。 %20
、20 は XNUMX 進数のスペースの ASCII コードです。)
そして、たとえば次のように、戻ってきたページでまったく同じ単語が繰り返されても驚かないでしょう。
検索した内容: 聖杯在庫はございません。
ここで、「」という奇妙な名前の製品を検索しようとしたと想像してください。 Holy<br>Grail
代わりに、何が起こったのかを見るためだけに。
このようなページが戻ってきたら…
検索した内容: 聖杯在庫はございません。
…あなたが期待するものではなく、つまり…
検索した内容: 聖なるグレイル ごめんなさい。 在庫はございません。
…そうすると、相手側のサーバーが次のようないわゆる「特殊」文字を不注意に扱っていたことがすぐにわかります。 <
(小なり記号) と >
(大なり記号) は、単なる HTML データではなく、HTML コマンドを指定するために使用されます。
HTML シーケンス <br>
文字通り「テキストを表示する」という意味ではありません 小なり記号 文字-b 文字-r 大なり記号「」ですが、代わりに HTML タグまたはコマンドであり、「この時点で改行を挿入する」ことを意味します。
ブラウザに小なり記号を送信して画面に表示したいサーバーは、特別なシーケンスを使用する必要があります。 <
その代わり。 (ご想像のとおり、大なり記号は次のようにエンコードされます。 >
.)
もちろん、これはアンパサンド文字 (&
) にも特別な意味があるため、出力されるアンパサンドは次のようにエンコードする必要があります。 &
、二重引用符 ("
) および一重引用符またはアポストロフィ記号 ('
).
実際には、クロスサイトスクリプタブルな出力トリックの問題は、次のような「ほとんど無害な」HTML コマンドではありません。 <br>
、ページのレイアウトが崩れますが、次のような危険な HTML タグ <script>
を使用すると、JavaScript コードを Web ページ自体に直接埋め込むことができます。
サイトが検索を処理できないことに気付いたら、 <br>
そうですね、次の試みは次のようなものを検索することかもしれません Holy<script>alert('Ooops')</script>Grail
を代わりにお使いください。
その検索語が最初に送信したとおりに返された場合、JavaScript 関数が実行されます。 alert()
そしてブラウザに次のようなメッセージをポップアップ表示します Ooops
.
ご想像のとおり、犯罪者は裁判で Web サイトを汚染する方法を発見します。 alert()
ポップアップは、新しく発見された XSS ホールの使用にすぐに切り替わり、より悪質な操作を実行します。
これらには、あなたのアカウントに関連するデータの取得や変更、あなたの名前でメッセージを送信したりアクションを承認したり、場合によっては、後で犯罪者自身があなたのアカウントに直接ログインできるようにするための認証 Cookie の取得が含まれる場合があります。
ちなみに、Zimbra 製品ディレクトリに適用するよう求められている XNUMX 行のパッチには、組み込みの Web フォームの項目をここから変更することが含まれています。
…より安全な形式に変換することで、 value
フィールド (テキストとしてブラウザに送信されますが表示されないため、サイトにアクセスしている間はそこにあることさえわかりません) は次のように構成されます。
この新しい行は、サーバー (Java で記述されている) に、セキュリティを考慮した Java 関数を適用するように指示します。 escapeXml()
の値に st
最初にフィールド。
ご想像のとおり、 escapeXml()
残り物が残らないようにします <
, >
, &
, "
および '
テキスト文字列内の文字は、次を使用して正しい XSS 耐性のある形式に書き換えられます。 <
, >
, &
, "
および '
を代わりにお使いください。
安全第一!
何をするか?
フォロー 手作業によるパッチの指示 ジンブラのウェブサイトにあります。
独自の Zimbra インスタンスを実行している (または、代わりに他の人にお金を払って実行してもらっている) 企業は、パッチの実行が技術的に複雑であるとは考えず、パッチを実行するためのカスタム スクリプトまたはプログラムをすぐに作成すると想定しています。
そうする必要があることを忘れないでください パッチ適用プロセスを繰り返す、Zimbraが思い出させてくれるように、 すべてのメールボックス ノード上で.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 視聴者の38%が
- 20
- 25
- 700
- 8
- a
- 絶対の
- アクセス
- アクセス
- 越えて
- Action
- 行動
- 進める
- すべて
- 許す
- 沿って
- amp
- an
- および
- 別の
- どれか
- 適用された
- 申し込む
- です
- AS
- At
- 攻撃
- 認証
- 著者
- オート
- 離れて
- バック
- 背景画像
- 悪い
- BE
- なぜなら
- き
- 代わって
- さ
- の間に
- 国境
- ボトム
- ボックス
- ブレーク
- ブラウザ
- ブラウジング
- バグ
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- came
- 缶
- センター
- チャンス
- 変化
- 文字
- 文字
- 点検
- 閉じる
- コード
- 環境、テクノロジーを推奨
- カラー
- 企業
- 会社
- 複雑な
- 秘密
- 確認します
- 含む
- コンテンツ
- 変換
- クッキー
- 協力
- 正しい
- コース
- カバー
- 作ります
- 犯罪者
- 興味深い
- カスタム
- Customers
- 危険な
- データ
- 細部
- 直接に
- 発見する
- ディスプレイ
- do
- そうではありません
- ドン
- ドント
- 効果
- ほかに
- 埋め込みます
- end
- 十分な
- 確実に
- 入力されました
- 本質的に
- さらに
- 例
- 期待する
- フィールド
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 修正する
- 次
- フォーム
- 形式でアーカイブしたプロジェクトを保存します.
- から
- function
- 生成
- 与える
- でログイン
- 推測された
- ハック
- 持っていました
- ハンド
- ハンドル
- が起こった
- 持ってる
- 高さ
- 隠されました
- 最高
- history
- ホール
- 穴
- ホバー
- 認定条件
- How To
- HTML
- HTTPS
- if
- 絵
- 直ちに
- 影響
- in
- include
- 含ま
- インストール
- を取得する必要がある者
- 整合性
- に
- 巻き込む
- IT
- ITS
- 自体
- 専門用語
- Java
- JavaScriptを
- 7月
- ただ
- キープ
- 知っている
- 既知の
- 後で
- レイアウト
- 左
- う
- レベル
- 生活
- ような
- LINE
- ログ
- ログイン
- 維持する
- 作る
- 手動で
- マージン
- 最大幅
- 五月..
- 意味
- 手段
- 単に
- メッセージ
- メッセージ
- かもしれない
- 他には?
- ずっと
- 名
- 必要
- 必要とされる
- 必要
- ニーズ
- 決して
- 次の
- ノード
- 通常の
- 今
- of
- on
- ONE
- 操作
- 業務執行統括
- オペレータ
- or
- その他
- さもないと
- でる
- 出力
- が
- 自分の
- ページ
- ページ
- パッチ
- 補修
- Paul Cairns
- 支払う
- 実行する
- 実行
- おそらく
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 毒
- ポップ
- 位置
- 投稿
- :
- 正確に
- 印刷物
- プライベート
- 多分
- 問題
- プロダクト
- 演奏曲目
- 正しく
- 守る
- 公表
- 押す
- 置きます
- すぐに
- むしろ
- リーディング
- リアル
- 実生活
- 受け取り
- 相対
- 関連した
- 覚えています
- 繰り返される
- レポート
- 要求
- 必要
- 研究者
- 結果
- 右
- ラン
- 安全な
- より安全な
- 前記
- 塩
- 同じ
- 格言
- 言う
- 画面
- スクリプト
- を検索
- 検索
- セキュリティ
- 送信
- 送信
- 送信
- シーケンス
- ショッピング
- ショート
- 示す
- 符号
- サイン
- ウェブサイト
- 卑劣な
- So
- ソフトウェア
- 固体
- 誰か
- 何か
- 音
- スペース
- スペース
- 特別
- 株式
- 文字列
- 提出された
- そのような
- スイート
- 驚きました
- SVG
- スイッチ
- TAG
- 取る
- 技術的に
- 伝える
- 期間
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- したがって、
- 彼ら
- この
- 介して
- 〜へ
- トークン
- あまりに
- top
- トランザクション
- 遷移
- トランスペアレント
- トライアル
- 試み
- 順番
- ターン
- type
- わかる
- ありそうもない
- 緊急
- 緊急
- URL
- つかいます
- 中古
- 通常
- 値
- バージョン
- 非常に
- 、
- 脆弱性
- 欲しいです
- wanted
- 望んでいる
- 警告
- ました
- we
- ウェブ
- ウェブサイト
- ウェブサイト
- した
- この試験は
- いつ
- which
- while
- 誰
- 幅
- 意志
- 無し
- 言葉
- でしょう
- 書かれた
- X
- XSS
- まだ
- You
- あなたの
- ゼファーネット