인기 콜라보레이션 상품 짐브라가 가지고 있는 고객에게 경고 소프트웨어 패치를 긴급하게 적용하여 보안 구멍을 막는 것 "잠재적으로 데이터의 기밀성과 무결성에 영향을 미칠 수 있습니다."
이 취약점은 XSS 버그로 알려진 것입니다. 사이트 간 스크립팅, 사이트 Y를 클릭하는 것과 같이 사이트 X를 통해 순진해 보이는 작업을 수행하면 사이트 X의 운영자가 악성 JavaScript 코드를 귀하의 브라우저가 Y에서 다시 수신하는 웹 페이지에 삽입할 수 있는 교활한 기회를 갖게 됩니다.
이것은 결국 X가 귀하의 계정 세부 정보, 로그인 쿠키, 인증 토큰, 거래 내역과 같이 Y에게만 비공개가 되는 데이터를 읽고 수정함으로써 사이트 Y의 귀하의 계정에 액세스할 수 있음을 의미합니다. , 등등.
약어 XSS는 자기 설명적인 이름입니다. 사기는 본질적으로 한 사이트에서 다른 사이트의 신뢰할 수 있는 콘텐츠로 신뢰할 수 없는 스크립트를 푸시하는 것과 관련되기 때문입니다.
...HTML 파일이나 JavaScript 코드를 직접 해킹하기 위해 미리 다른 사이트에 침입할 필요 없이 모두 가능합니다.
패치되었지만 게시되지 않음
버그는 이제 Zimbra의 코드에서 패치되었지만 회사는 다음과 같이 말합니다. "이 수정 사항을 XNUMX월 릴리스에 적용했습니다.", 아직 해당 버전을 게시하지 않았습니다.
그러나 패치는 즉시 필요할 정도로 긴급한 것으로 판명되었습니다. 실제 사이버 공격 Google의 보안 연구원에 의해.
그것은 그것을 두렵게 만든다. 제로 데이 익스플로잇, Bad Guys가 먼저 찾아내어 유지하는 보안 허점에 사용되는 전문 용어입니다.
따라서 Zimbra는 고객에게 제품 설치 디렉토리의 단일 데이터 파일에 대한 한 줄 편집이 필요한 수정 사항을 직접 직접 적용하라고 경고했습니다.
Zimbra는 Naked Security의 라임 리마인더를 사용하지 않았습니다. 미루지 말고 오늘 하라, 하지만 경찰의 기술자들은 자신들의 언어로 같은 수준의 긴급함으로 무언가를 말했습니다. 공식 보안 게시판:
행동을 취하다. 수정 사항을 수동으로 적용합니다.
귀하의 데이터를 보호하기 위해 조속히 조치를 취하기를 원할 수 있음을 이해합니다.
최고 수준의 보안을 유지하기 위해 모든 사서함 노드에 수정 사항을 수동으로 적용할 수 있도록 협조해 주시기 바랍니다.
XSS 설명
간단히 말해 XSS 공격은 일반적으로 서버를 속여 웹 페이지를 생성하도록 하는 것입니다. 외부에서 제출된 데이터를 신뢰할 수 있게 포함하는, 데이터가 안전한지 확인하지 않고 사용자의 브라우저로 직접 보낼 수 있습니다.
처음에는 이상하게 들릴지 모르지만 (또는 가능성이 희박하지만) 브라우저에 입력을 반복하거나 반영하는 것은 완전히 정상입니다. 예를 들어 사이트에서 방금 입력한 데이터를 확인하거나 검색 결과를 보고하려는 경우입니다. 찾다.
예를 들어 쇼핑 사이트를 탐색하고 있고 판매할 성배가 있는지 알고 싶다면 다음을 입력해야 합니다. Holy Grail
다음과 같은 URL로 사이트에 제출될 수 있습니다.
https://example.com/search/?product=Holy%20Grail
(URL은 공백을 포함할 수 없으므로 단어 사이의 공백 문자는 브라우저에서 %20
, 여기서 20은 XNUMX진수 공백에 대한 ASCII 코드입니다.)
그리고 돌아온 페이지에서 다음과 같은 동일한 단어가 반복되는 것을 보고 놀라지 않을 것입니다.
검색하신 항목: Holy Grail 죄송합니다. 재고가 없습니다.
이제 당신이 Holy<br>Grail
대신 무슨 일이 있었는지 확인하기 위해.
다음과 같은 페이지를 다시 받은 경우…
검색하신 항목: Holy Grail 죄송합니다. 재고가 없습니다.
...당신이 기대하는 것 대신에, 즉...
당신이 검색한 항목: 홀리 성배 죄송합니다. 재고가 없습니다.
...그러면 상대방 서버가 다음과 같은 소위 "특수" 문자로 부주의하다는 것을 즉시 알 수 있습니다. <
(미만 기호) 및 >
(보다 큼 기호), HTML 데이터뿐만 아니라 HTML 명령을 지정하는 데 사용됩니다.
HTML 시퀀스 <br>
문자 그대로 "텍스트 표시"를 의미하지 않습니다. 보다 작음 기호 문자-b 문자-r 보다 큼 기호"이지만 대신 HTML 태그 또는 명령으로 "이 지점에 줄 바꿈 삽입"을 의미합니다.
화면에 인쇄하기 위해 브라우저에 보다 작음 기호를 보내려는 서버는 특수 시퀀스를 사용해야 합니다. <
대신에. (상상할 수 있듯이 보다 큼 기호는 다음과 같이 인코딩됩니다. >
.)
물론 이는 앰퍼샌드 문자(&
)도 특별한 의미가 있으므로 인쇄할 앰퍼샌드를 다음과 같이 인코딩해야 합니다. &
, 큰따옴표("
) 및 작은따옴표 또는 아포스트로피 표시('
).
실생활에서 교차 사이트 스크립팅 가능한 출력 트릭의 문제는 다음과 같은 "대부분 무해한" HTML 명령이 아닙니다. <br>
, 페이지 레이아웃을 방해하지만 다음과 같은 위험한 HTML 태그 <script>
, 웹 페이지 자체에 직접 JavaScript 코드를 삽입할 수 있습니다.
사이트에서 검색을 처리하지 않는 것을 발견한 경우 <br>
다음 시도는 다음과 같은 것을 검색하는 것일 수 있습니다. Holy<script>alert('Ooops')</script>Grail
대신.
해당 검색어가 처음 보낸 그대로 정확하게 반환되면 JavaScript 기능을 실행하는 효과가 있습니다. alert()
브라우저에 다음과 같은 메시지를 표시하려면 Ooops
.
상상할 수 있듯이 시험을 통해 웹 사이트를 독살하는 방법을 발견한 사기꾼 alert()
팝업은 새로 발견된 XSS 구멍을 사용하여 훨씬 더 교활한 작업을 수행하도록 빠르게 전환합니다.
여기에는 귀하의 계정과 관련된 데이터 검색 또는 수정, 메시지 전송 또는 귀하의 이름으로 작업 승인, 범죄자가 나중에 귀하의 계정에 직접 다시 로그인할 수 있는 인증 쿠키 확보가 포함될 수 있습니다.
부수적으로 Zimbra 제품 디렉토리에 적용해야 하는 한 줄 패치는 내장된 웹 양식의 항목을 다음에서 변경하는 것과 관련됩니다.
...더 안전한 형식으로 변환하여 value
필드(브라우저에 텍스트로 전송되지만 표시되지 않으므로 사이트에 액세스하는 동안에는 있는지조차 알 수 없음)는 다음과 같이 구성됩니다.
이 새로운 라인은 보안에 민감한 Java 기능을 적용하도록 서버(Java로 작성됨)에 지시합니다. escapeXml()
의 가치에 st
필드 먼저.
아마 짐작 했겠지만, escapeXml()
모든 잔여물을 보장합니다. <
, >
, &
, "
및 '
텍스트 문자열의 문자는 다음을 사용하여 올바른 XSS 방지 형식으로 다시 작성됩니다. <
, >
, &
, "
및 '
대신.
안전 제일!
무엇을해야 하는가?
에 따라 수동 패치 지침 짐브라 홈페이지에서
우리는 자체 Zimbra 인스턴스를 실행하는 회사(또는 대신 실행하도록 다른 사람에게 비용을 지불하는 회사)가 수행하기에 기술적으로 복잡한 패치를 찾지 않고 이를 수행할 사용자 지정 스크립트 또는 프로그램을 신속하게 생성할 것이라고 가정합니다.
해야 한다는 사실을 잊지 마세요. 패치 과정 반복, Zimbra가 상기시켜 주듯이 모든 사서함 노드에서.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- 절대
- ACCESS
- 액세스
- 계정
- 가로질러
- 동작
- 행위
- 전진
- All
- 수
- 따라
- amp
- an
- 및
- 다른
- 어떤
- 적용된
- 신청
- 있군요
- AS
- At
- 공격
- 인증
- 저자
- 자동
- 떨어져
- 뒤로
- 배경 이미지
- 나쁜
- BE
- 때문에
- 된
- 대신에
- 존재
- 사이에
- 경계
- 바닥
- 보물상자
- 흩어져
- 브라우저
- 검색
- 곤충
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 라는
- 온
- CAN
- 센터
- 기회
- 변화
- 문자
- 문자
- 확인
- 닫기
- 암호
- 협동
- 색
- 기업
- 회사
- 복잡한
- 기밀 유지
- 확인하기
- 포함하는
- 함유량
- 변환
- 쿠키
- 협력
- 수정
- 코스
- 엄호
- 만들
- 범죄자
- 이상한
- 관습
- 고객
- 위험한
- 데이터
- 세부설명
- 직접
- 발견
- 디스플레이
- do
- 하지 않습니다
- 돈
- 말라
- 효과
- 그렇지 않으면
- 포함
- end
- 충분히
- 보장
- 입력 된
- 본질적으로
- 조차
- 예
- 기대
- 들
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- Find
- 먼저,
- 수정
- 다음
- 럭셔리
- 형태
- 체재
- 에
- 기능
- 생성
- 제공
- 구글
- 추측
- 마구 자르기
- 했다
- 손
- 핸들
- 일이
- 있다
- 신장
- 숨겨진
- 최고
- history
- 보유
- 구멍
- 구멍
- 가져가
- 방법
- How To
- HTML
- HTTPS
- if
- 그림
- 바로
- 영향
- in
- 포함
- 포함
- 입력
- 설치
- 예
- 를 받아야 하는 미국 여행자
- 보전
- 으로
- 감다
- IT
- 그
- 그 자체
- 특수 용어
- 자바
- 자바 스크립트
- 7월
- 다만
- 유지
- 알아
- 알려진
- 후에
- 레이아웃
- 왼쪽 (left)
- 하자
- 레벨
- 생활
- 처럼
- 라인
- 기록
- 로그인
- 유지하다
- 제작
- 수동으로
- 한계
- 최대 폭
- XNUMX월..
- 의미
- 방법
- 단지
- 메시지
- 메시지
- 수도
- 배우기
- 많은
- name
- 필요
- 필요
- 필요
- 요구
- 못
- 다음 것
- 노드
- 표준
- 지금
- of
- on
- ONE
- 조작
- 행정부
- 연산자
- or
- 기타
- 그렇지 않으면
- 아웃
- 출력
- 위에
- 자신의
- 페이지
- 페이지
- 패치
- 패치
- 폴
- 지불
- 수행
- 실행할 수 있는
- 혹시
- 장소
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 독
- 대중적인
- 위치
- 게시물
- 잠재적으로
- 정밀하게
- 인쇄
- 사설
- 아마
- 문제
- 프로덕트
- 프로그램
- 정확히
- 보호
- 출판
- 미는
- 놓다
- 빨리
- 차라리
- 읽기
- 현실
- 실생활
- 수신
- 상대적인
- 관련된
- 기억
- 반복
- 신고
- 의뢰
- 필요
- 연구원
- 결과
- 연락해주세요
- 달리기
- 가장 안전한 따뜻함
- 안전
- 말했다
- 판매
- 같은
- 속담
- 라고
- 화면
- 스크립트
- 검색
- 수색
- 보안
- 참조
- 보내다
- 전송
- 전송
- 순서
- 쇼핑
- 짧은
- 표시
- 기호
- 안전표시
- 단일
- 대지
- 몰래 하는
- So
- 소프트웨어
- 고체
- 어떤 사람
- 무언가
- 소리
- 스페이스 버튼
- 공간
- 특별한
- 재고
- 끈
- 제출
- 이러한
- 스위트
- 깜짝
- SVG
- 스위치
- TAG
- 받아
- 기술적으로
- 말하다
- 기간
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그들 자신
- 그곳에.
- 따라서
- 그들
- 이
- 을 통하여
- 에
- 토큰
- 너무
- 상단
- 거래
- 전이
- 투명한
- 시도
- 시도
- 회전
- 결국
- 유형
- 이해
- 가능성
- 긴급
- 긴급한
- URL
- 사용
- 익숙한
- 사용
- 보통
- 가치
- 버전
- 대단히
- 를 통해
- 취약점
- 필요
- 원
- 원
- 경고
- 였다
- we
- 웹
- 웹 사이트
- 웹 사이트
- 했다
- 뭐
- 언제
- 어느
- 동안
- 누구
- 폭
- 의지
- 과
- 없이
- 말
- 겠지
- 쓴
- X
- XSS
- 아직
- 자신의
- 너의
- 제퍼 넷