Populair samenwerkingsproduct dat Zimbra heeft waarschuwde klanten om dringend een softwarepatch toe te passen om een beveiligingslek te dichten dat het zegt "kan mogelijk van invloed zijn op de vertrouwelijkheid en integriteit van uw gegevens."
De kwetsbaarheid is een zogenaamde XSS-bug, kort voor cross-site scripting, waarbij het uitvoeren van een onschuldig ogende operatie via site X, zoals doorklikken naar site Y, de operator van site X een stiekeme kans geeft om malafide JavaScript-code te implanteren in de webpagina's die uw browser terugkrijgt van Y.
Dit betekent op zijn beurt dat X mogelijk toegang krijgt tot uw account op site Y, door gegevens uit te lezen en misschien zelfs te wijzigen die anders privé zouden zijn voor Y, zoals uw accountgegevens, inlogcookies, authenticatietokens, transactiegeschiedenis , enzovoort.
De afkorting XSS is een zelfbeschrijvende naam, omdat de schurkenstaat in wezen inhoudt dat niet-vertrouwde scripts van de ene site naar de anderszins vertrouwde inhoud van een andere site worden geduwd...
...allemaal zonder vooraf in te breken op de andere site om de HTML-bestanden of JavaScript-code rechtstreeks te hacken.
Gepatcht maar niet gepubliceerd
Hoewel de bug nu is gepatcht in de code van Zimbra, en dat zegt het bedrijf "het heeft deze oplossing toegepast op de release van juli", heeft het die versie nog niet gepubliceerd.
Maar de pleister blijkt dringend genoeg om direct nodig te zijn, want hij werd gespot in een echte cyberaanval door een beveiligingsonderzoeker bij Google.
Dat maakt het een gevreesde zero-day exploit, de jargonterm die wordt gebruikt voor beveiligingslekken die de slechteriken als eerste vinden en voor zichzelf houden.
Zimbra heeft daarom zijn klanten gewaarschuwd om de fix zelf met de hand aan te brengen, wat een bewerking van één regel vereist in een enkel gegevensbestand in de installatiemap van het product.
Zimbra gebruikte de eigen rijmende herinnering van Naked Security niet helemaal Stel het niet uit / doe het vandaag nog, maar de techneuten van het bedrijf zeiden iets met dezelfde urgentie als zijzelf officieel veiligheidsbulletin:
Actie ondernemen. Fix handmatig toepassen.
We begrijpen dat u misschien eerder dan later actie wilt ondernemen om uw gegevens te beschermen.
Om het hoogste beveiligingsniveau te behouden, verzoeken we u vriendelijk om de fix handmatig op al uw mailboxknooppunten aan te brengen.
XSS uitgelegd
Simpel gezegd, XSS-aanvallen houden meestal in dat een server wordt misleid om een webpagina te genereren die betrouwbaar gegevens bevat die van buitenaf zijn ingediend, zonder te controleren of de gegevens veilig rechtstreeks naar de browser van de gebruiker kunnen worden verzonden.
Hoe merkwaardig (of onwaarschijnlijk) dit in eerste instantie ook mag klinken, onthoud dat het volkomen normaal is om invoer in uw browser te herhalen of weer te geven, bijvoorbeeld wanneer een site gegevens die u zojuist hebt ingevoerd wil bevestigen of de resultaten wil rapporteren van een zoekopdracht.
Als je bijvoorbeeld op een winkelsite aan het browsen bent en je wilt zien of ze heilige graals te koop hebben, zou je verwachten dat je typt Holy Grail
in een zoekvak, dat uiteindelijk naar de site kan worden verzonden in een URL zoals deze:
https://example.com/search/?product=Holy%20Grail
(URL's mogen geen spaties bevatten, dus de spatie tussen de woorden wordt door uw browser omgezet in %20
, waarbij 20 de ASCII-code is voor spatie in hexadecimaal.)
En het zou je niet verbazen dezelfde woorden herhaald te zien op de pagina die terugkwam, bijvoorbeeld als volgt:
Je zocht naar: Heilige Graal Sorry. We hebben er geen op voorraad.
Stel je nu voor dat je probeerde te zoeken naar een product met een bizarre naam genaamd a Holy<br>Grail
in plaats daarvan gewoon om te zien wat er is gebeurd.
Als je een pagina als deze hebt teruggekregen...
Je zocht naar: Heilige Graal Sorry. We hebben er geen op voorraad.
…in plaats van wat je zou verwachten, namelijk…
U heeft gezocht op: Heilig Graal Sorry. We hebben er geen op voorraad.
…dan zou je meteen weten dat de server aan de andere kant onzorgvuldig bezig was met zogenaamde “speciale” karakters zoals <
(kleiner dan teken) en >
(groter-dan-teken), die worden gebruikt om HTML-commando's te specificeren, niet alleen HTML-gegevens.
De HTML-reeks <br>
betekent niet letterlijk 'toon de tekst kleiner dan teken letter-b letter-r groter dan teken", maar is in plaats daarvan een HTML-tag, of commando, dat betekent "voeg op dit punt een regeleinde in".
Een server die uw browser een kleiner-dan-teken wil sturen om op het scherm af te drukken, moet de speciale volgorde gebruiken <
in plaats van. (Groter-dan-tekens, zoals u zich kunt voorstellen, zijn gecodeerd als >
.)
Dit betekent natuurlijk dat het ampersand-teken (&
) heeft ook een speciale betekenis, dus ampersands die moeten worden afgedrukt, moeten worden gecodeerd als &
, samen met dubbele aanhalingstekens ("
) en enkele aanhalingstekens of weglatingstekens ('
).
In het echte leven is het probleem met cross-site-scriptbare uitvoertrucs niet 'meestal onschadelijke' HTML-commando's zoals <br>
, wat de pagina-indeling verstoort, maar gevaarlijke HTML-tags zoals <script>
, waarmee u JavaScript-code daar kunt insluiten, rechtstreeks in de webpagina zelf.
Als je eenmaal hebt gezien dat een site het zoeken naar niet aankan <br>
correct, zou je volgende poging kunnen zijn om te zoeken naar iets als Holy<script>alert('Ooops')</script>Grail
gebruiken.
Als die zoekterm precies wordt geretourneerd zoals u deze in de eerste plaats hebt verzonden, is het effect dat de JavaScript-functie wordt uitgevoerd alert()
en om een bericht in uw browser te laten verschijnen met de tekst Ooops
.
Zoals u zich kunt voorstellen, oplichters die ontdekken hoe ze websites kunnen vergiftigen met een proces alert()
pop-ups schakelen snel over op het gebruik van hun nieuw gevonden XSS-gat om veel sluwere bewerkingen uit te voeren.
Denk hierbij aan het opvragen of wijzigen van gegevens die relevant zijn voor uw account, het verzenden van berichten of het autoriseren van acties in uw naam, en misschien het bemachtigen van authenticatiecookies waarmee de criminelen later zelf direct weer kunnen inloggen op uw account.
Overigens, de eenregelige patch die u moet toepassen in de Zimbra-productdirectory, omvat het wijzigen van een item in een ingebouwd webformulier van deze ...
…in een veiliger formaat, zodat de value
veld (dat als tekst naar uw browser wordt verzonden maar nooit wordt weergegeven, zodat u niet eens weet dat het er is wanneer u de site bezoekt) is als volgt opgebouwd:
Deze regel in een nieuw jasje vertelt de server (die in Java is geschreven) om de beveiligingsbewuste Java-functie toe te passen escapeXml()
naar de waarde van de st
veld eerst.
Zoals je waarschijnlijk al geraden hebt, escapeXml()
zorgt ervoor dat eventuele restjes <
, >
, &
, "
en '
tekens in een tekenreeks worden herschreven in hun correcte en XSS-bestendige formaten, met behulp van <
, >
, &
, "
en '
gebruiken.
Veiligheid eerst!
Wat te doen?
Volg de hand-patching instructies op de website van Zimbra.
We gaan ervan uit dat bedrijven die hun eigen Zimbra-instanties uitvoeren (of iemand anders betalen om ze namens hen uit te voeren) de patch technisch niet ingewikkeld zullen vinden om uit te voeren en snel een aangepast script of programma zullen maken om het voor hen te doen.
Vergeet alleen niet dat het nodig is herhaal het patchproces, zoals Zimbra je eraan herinnert, op al uw mailboxknooppunten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- absoluut
- toegang
- toegang
- Account
- over
- Actie
- acties
- bevorderen
- Alles
- toelaten
- langs
- amp
- an
- en
- Nog een
- elke
- toegepast
- Solliciteer
- ZIJN
- AS
- At
- Aanvallen
- authenticatie
- auteur
- auto
- weg
- terug
- background-image
- slecht
- BE
- omdat
- geweest
- namens
- wezen
- tussen
- grens
- Onder
- Box camera's
- Breken
- browser
- Bladeren
- Bug
- ingebouwd
- maar
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- kwam
- CAN
- Centreren
- kans
- veranderende
- karakter
- tekens
- controleren
- Sluiten
- code
- samenwerking
- kleur
- Bedrijven
- afstand
- complex
- vertrouwelijkheid
- Bevestigen
- bevatten
- content
- geconverteerd
- cookies
- samenwerking
- te corrigeren
- Type cursus
- deksel
- en je merk te creëren
- criminelen
- nieuwsgierig
- gewoonte
- Klanten
- gevaarlijk
- gegevens
- gegevens
- direct
- Onthul Nu
- Display
- do
- Nee
- don
- Dont
- effect
- anders
- insluiten
- einde
- genoeg
- waarborgt
- ingevoerd
- in wezen
- Zelfs
- voorbeeld
- verwachten
- veld-
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- Bepalen
- volgt
- Voor
- formulier
- formaat
- oppompen van
- functie
- het genereren van
- geeft
- Kopen Google Reviews
- geraden
- houwen
- HAD
- hand
- handvat
- gebeurd
- Hebben
- Hoogte
- verborgen
- hoogst
- geschiedenis
- houden
- Gat
- Gaten
- zweven
- Hoe
- How To
- HTML
- HTTPS
- if
- beeld
- per direct
- Impact
- in
- omvatten
- omvat
- invoer
- installatie
- instantie
- verkrijgen in plaats daarvan
- integriteit
- in
- betrekken
- IT
- HAAR
- zelf
- jargon
- Java
- JavaScript
- juli-
- voor slechts
- Houden
- blijven
- bekend
- later
- Layout
- links
- laten
- Niveau
- Life
- als
- Lijn
- inloggen
- Log in
- onderhouden
- MERKEN
- handmatig
- Marge
- max-width
- Mei..
- betekenis
- middel
- alleen
- Bericht
- berichten
- macht
- meer
- veel
- naam
- Noodzaak
- nodig
- nodig
- behoeften
- nooit
- volgende
- knooppunten
- een
- nu
- of
- on
- EEN
- operatie
- Operations
- operator
- or
- Overige
- anders-
- uit
- uitgang
- over
- het te bezitten.
- pagina
- paginas
- Patch
- patchen
- Paul
- Betaal
- Uitvoeren
- uitvoerend
- misschien
- plaats
- Plato
- Plato gegevensintelligentie
- PlatoData
- gif
- knal
- positie
- Berichten
- mogelijk
- Precies
- privaat
- waarschijnlijk
- probleem
- Product
- Programma
- naar behoren
- beschermen
- gepubliceerde
- voortvarend
- zetten
- snel
- liever
- lezing
- vast
- echte leven
- ontvangt
- relatief
- relevante
- niet vergeten
- herhaald
- verslag
- te vragen
- vereist
- onderzoeker
- Resultaten
- rechts
- lopen
- veilig
- veiliger
- Zei
- sale
- dezelfde
- gezegde
- zegt
- scherm
- scripts
- Ontdek
- zoeken
- veiligheid
- zien
- sturen
- verzending
- verzonden
- Volgorde
- Winkelen
- Bermuda's
- getoond
- teken
- Signs
- single
- website
- Gluiperig
- So
- Software
- solide
- Iemand
- iets
- Geluid
- Tussenruimte
- ruimten
- special
- voorraad
- Draad
- ingediend
- dergelijk
- suite
- verwonderd
- SVG
- Stap over voor slechts
- TAG
- Nemen
- technisch
- vertelt
- termijn
- neem contact
- dat
- De
- hun
- Ze
- zich
- Er.
- daarom
- ze
- dit
- Door
- naar
- tokens
- ook
- top
- transactie
- overgang
- transparant
- proces
- probeerden
- BEURT
- wordt
- type dan:
- begrijpen
- onwaarschijnlijk
- urgentie
- dringend
- URL
- .
- gebruikt
- gebruik
- doorgaans
- waarde
- versie
- zeer
- via
- kwetsbaarheid
- willen
- gezocht
- wil
- waarschuwing
- was
- we
- web
- Website
- websites
- waren
- Wat
- wanneer
- welke
- en
- WIE
- Breedte
- wil
- Met
- zonder
- woorden
- zou
- geschreven
- X
- XSS
- nog
- You
- Your
- zephyrnet