Popularny produkt do współpracy Zimbra ostrzegli klientów pilnie zastosować poprawkę oprogramowania, aby zamknąć lukę w zabezpieczeniach, o której mówi „może potencjalnie wpłynąć na poufność i integralność twoich danych”.
Luka w zabezpieczeniach to tak zwany błąd XSS, w skrócie skrypty między witrynami, przy czym wykonanie niewinnie wyglądającej operacji za pośrednictwem witryny X, takiej jak przejście do witryny Y, daje operatorowi witryny X podstępną szansę na wszczepienie nieuczciwego kodu JavaScript na stronach internetowych, które przeglądarka otrzymuje z powrotem od Y.
To z kolei oznacza, że X może uzyskać dostęp do Twojego konta na stronie Y, odczytując, a być może nawet modyfikując dane, które w innym przypadku byłyby prywatne dla Y, takie jak dane Twojego konta, ciasteczka logowania, tokeny uwierzytelniające, historia transakcji , i tak dalej.
Skrót XSS jest samoopisową nazwą, ponieważ nieuczciwość zasadniczo polega na przepychaniu niezaufanych skryptów z jednej witryny do zaufanej zawartości innej witryny…
…wszystko to bez konieczności wcześniejszego włamania się do innej witryny w celu bezpośredniego zhakowania jej plików HTML lub kodu JavaScript.
Poprawiony, ale nie opublikowany
Chociaż błąd został już załatany w kodzie Zimbry, a firma tak twierdzi „zastosował tę poprawkę do lipcowej wersji”, nie opublikował jeszcze tej wersji.
Ale okazuje się, że łatka jest na tyle pilna, że jest potrzebna od razu, ponieważ została zauważona w cyberatak w prawdziwym życiu przez badacza bezpieczeństwa w Google.
To sprawia, że jest to przerażające exploit zero-day, żargonowe określenie luk w zabezpieczeniach, które Bad Guys znajdują jako pierwsze i zachowują dla siebie.
W związku z tym Zimbra ostrzegła swoich klientów, aby samodzielnie zastosowali poprawkę, co wymaga edycji jednego wiersza pojedynczego pliku danych w katalogu instalacyjnym produktu.
Zimbra nie do końca wykorzystał rymowane przypomnienie Naked Security Nie zwlekaj/Zrób to już dziś, ale technicy firmy powiedzieli coś z taką samą pilnością w swoich oficjalny biuletyn bezpieczeństwa:
Podejmij działanie. Zastosuj poprawkę ręcznie.
Rozumiemy, że możesz chcieć podjąć działania wcześniej niż później, aby chronić swoje dane.
Aby zachować najwyższy poziom bezpieczeństwa, uprzejmie prosimy o współpracę w celu ręcznego zastosowania poprawki na wszystkich węzłach skrzynek pocztowych.
XSS wyjaśnił
Mówiąc najprościej, ataki XSS zwykle polegają na nakłonieniu serwera do wygenerowania strony internetowej która z pełnym zaufaniem obejmuje dane przesłane z zewnątrz, bez sprawdzania, czy dane można bezpiecznie przesłać bezpośrednio do przeglądarki użytkownika.
Choć na pierwszy rzut oka może się to wydawać dziwne (lub nieprawdopodobne), pamiętaj, że powtarzanie lub odzwierciedlanie danych wejściowych w przeglądarce jest całkowicie normalne, na przykład gdy witryna chce potwierdzić właśnie wprowadzone dane lub zgłosić wyniki szukaj.
Jeśli na przykład przeglądasz witrynę handlową i chcesz sprawdzić, czy mają na sprzedaż Święte Graale, powinieneś wpisać Holy Grail
w polu wyszukiwania, które może zostać przesłane do witryny pod następującym adresem URL:
https://example.com/search/?product=Holy%20Grail
(Adresy URL nie mogą zawierać spacji, więc znak spacji między słowami jest konwertowany przez przeglądarkę na %20
, gdzie 20 to kod ASCII oznaczający spację w systemie szesnastkowym).
I nie zdziwiłbyś się, gdybyś zobaczył te same słowa powtórzone na stronie, która wróciła, na przykład tak:
szukasz: Święty Graal Przepraszamy. Nie mamy żadnych na stanie.
Teraz wyobraź sobie, że próbujesz wyszukać produkt o dziwacznej nazwie o nazwie a Holy<br>Grail
zamiast tego po prostu zobaczyć, co się stało.
Jeśli otrzymałeś z powrotem stronę podobną do tej…
szukasz: Święty Graal Przepraszamy. Nie mamy żadnych na stanie.
…zamiast tego, czego można się spodziewać, a mianowicie…
szukasz: Św Graal Przepraszam. Nie mamy żadnych na stanie.
… wtedy od razu wiedziałbyś, że serwer po drugiej stronie był nieostrożny z tak zwanymi „specjalnymi” znakami, takimi jak <
(znak mniej niż) i >
(znak większości), które są używane do określania poleceń HTML, a nie tylko danych HTML.
Sekwencja HTML <br>
nie oznacza dosłownie „wyświetl tekst znak mniejszości litera-b litera-r znak większości„, ale zamiast tego jest znacznikiem HTML lub poleceniem, co oznacza „wstaw podział linii w tym miejscu”.
Serwer, który chce wysłać przeglądarce znak mniejszości do wydrukowania na ekranie, musi użyć specjalnej sekwencji <
Zamiast. (Znaki większe niż, jak możesz sobie wyobrazić, są zakodowane jako >
.)
Oczywiście oznacza to, że znak ampersand (&
) ma również specjalne znaczenie, więc znaki ampersand-do-wydrukowania muszą być zakodowane jako &
, wraz z podwójnymi cudzysłowami ("
) i pojedynczych cudzysłowów lub apostrofów ('
).
W prawdziwym życiu problem ze sztuczkami wyjściowymi umożliwiającymi skryptowanie między witrynami nie polega na „przeważnie nieszkodliwych” poleceniach HTML, takich jak <br>
, co zaburza układ strony, ale niebezpieczne znaczniki HTML, takie jak <script>
, które umożliwiają osadzenie kodu JavaScript bezpośrednio na stronie internetowej.
Gdy zauważysz, że witryna nie obsługuje wyszukiwania <br>
prawidłowo, następną próbą może być wyszukanie czegoś takiego jak Holy<script>alert('Ooops')</script>Grail
zamiast.
Jeśli to wyszukiwane hasło zostanie zwrócone dokładnie tak, jak je wysłałeś, efektem będzie uruchomienie funkcji JavaScript alert()
i wyskakuje komunikat w przeglądarce mówiący Ooops
.
Jak możesz sobie wyobrazić, oszuści, którzy odkrywają, jak zatruwać strony internetowe za pomocą wersji próbnej alert()
wyskakujące okienka szybko przestawiają się na wykorzystywanie nowo odkrytej dziury XSS do wykonywania znacznie bardziej przebiegłych operacji.
Mogą one obejmować pobieranie lub modyfikowanie danych związanych z Twoim kontem, wysyłanie wiadomości lub autoryzowanie działań w Twoim imieniu, a być może przechwytywanie uwierzytelniających plików cookie, które pozwolą przestępcom zalogować się bezpośrednio z powrotem na Twoje konto później.
Nawiasem mówiąc, jednowierszowa poprawka, którą zaleca się zastosować w katalogu produktów Zimbra, polega na zmianie elementu we wbudowanym formularzu internetowym z tego…
… do bezpieczniejszego formatu, aby plik value
pole (które zostanie wysłane do Twojej przeglądarki jako tekst, ale nigdy nie zostanie wyświetlone, więc nawet nie będziesz wiedział, że tam jest podczas uzyskiwania dostępu do witryny) jest zbudowane w następujący sposób:
Ta linia o nowym wyglądzie mówi serwerowi (napisanemu w Javie), aby zastosował funkcję Javy dbającą o bezpieczeństwo escapeXml()
do wartości st
pierwsze pole.
Jak się pewnie domyślasz, escapeXml()
gwarantuje, że wszelkie pozostałości <
, >
, &
, "
i '
znaki w ciągu tekstowym są przepisywane w ich poprawnych i odpornych na XSS formatach, używając <
, >
, &
, "
i '
zamiast.
Bezpieczeństwo przede wszystkim!
Co robić?
Śledź instrukcje ręcznego łatania na stronie Zimbry.
Zakładamy, że firmy, które uruchamiają własne instancje Zimbra (lub płacą komuś innemu za uruchamianie ich w ich imieniu) nie uznają łatki za skomplikowaną technicznie i szybko stworzą niestandardowy skrypt lub program, który zrobi to za nich.
Tylko nie zapomnij, że musisz powtórz proces patchowania, jak przypomina Zimbra, na wszystkich węzłach skrzynek pocztowych.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- bezwzględny
- dostęp
- Dostęp
- Konto
- w poprzek
- Działania
- działania
- awansować
- Wszystkie kategorie
- dopuszczać
- wzdłuż
- amp
- an
- i
- Inne
- każdy
- stosowany
- Aplikuj
- SĄ
- AS
- At
- Ataki
- Uwierzytelnianie
- autor
- samochód
- z dala
- z powrotem
- background-image
- Łazienka
- BE
- bo
- być
- w imieniu
- jest
- pomiędzy
- granica
- Dolny
- Pudełko
- przerwa
- przeglądarka
- Przeglądanie
- Bug
- wbudowany
- ale
- by
- nazywa
- oprawa ołowiana witrażu
- CAN
- Centrum
- szansa
- wymiana pieniędzy
- charakter
- znaków
- kontrola
- Zamknij
- kod
- współpraca
- kolor
- Firmy
- sukcesy firma
- kompleks
- poufność
- Potwierdzać
- zawierać
- zawartość
- przeliczone
- cookies
- współpraca
- skorygowania
- Kurs
- pokrywa
- Stwórz
- przestępcy
- ciekawy
- zwyczaj
- Klientów
- Niebezpieczny
- dane
- detale
- bezpośrednio
- odkryj
- Wyświetlacz
- do
- Nie
- darowizna
- nie
- efekt
- więcej
- osadzać
- zakończenia
- dość
- zapewnia
- wpisana
- istotnie
- Parzyste
- przykład
- oczekiwać
- pole
- filet
- Akta
- Znajdź
- i terminów, a
- Fix
- następujący sposób
- W razie zamówieenia projektu
- Nasz formularz
- format
- od
- funkcjonować
- generujący
- daje
- zgadłem
- siekać
- miał
- ręka
- uchwyt
- się
- Have
- wysokość
- Ukryty
- Najwyższa
- historia
- przytrzymaj
- Otwór
- Dziury
- unosić
- W jaki sposób
- How To
- HTML
- HTTPS
- if
- obraz
- natychmiast
- Rezultat
- in
- zawierać
- obejmuje
- wkład
- instalacja
- przykład
- zamiast
- integralność
- najnowszych
- angażować
- IT
- JEGO
- samo
- żargon
- Java
- JAVASCRIPT
- lipiec
- właśnie
- Trzymać
- Wiedzieć
- znany
- później
- układ
- lewo
- niech
- poziom
- życie
- lubić
- Linia
- log
- Zaloguj Się
- utrzymać
- WYKONUJE
- ręcznie
- Margines
- Maksymalna szerokość
- Może..
- znaczenie
- znaczy
- jedynie
- wiadomość
- wiadomości
- może
- jeszcze
- dużo
- Nazwa
- Potrzebować
- potrzebne
- potrzeba
- wymagania
- nigdy
- Następny
- węzły
- normalna
- już dziś
- of
- on
- ONE
- działanie
- operacje
- operator
- or
- Inne
- Inaczej
- na zewnątrz
- wydajność
- koniec
- własny
- strona
- stron
- Łata
- łatanie
- Paweł
- Zapłacić
- wykonać
- wykonywania
- może
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- trucizna
- muzyka pop
- position
- Wiadomości
- potencjalnie
- precyzyjnie
- prywatny
- prawdopodobnie
- Problem
- Produkt
- Program
- prawidłowo
- chronić
- opublikowany
- Popychanie
- położyć
- szybko
- raczej
- Czytający
- real
- prawdziwe życie
- otrzymuje
- względny
- pamiętać
- powtórzony
- raport
- zażądać
- Wymaga
- badacz
- Efekt
- prawo
- run
- "bezpiecznym"
- bezpieczniej
- Powiedział
- sprzedaż
- taki sam
- powiedzenie
- mówią
- Ekran
- skrypty
- Szukaj
- poszukiwania
- bezpieczeństwo
- widzieć
- wysłać
- wysyłanie
- wysłany
- Sekwencja
- Zakupy
- Short
- pokazane
- znak
- znaki
- pojedynczy
- witryna internetowa
- Podstępny
- So
- Tworzenie
- solidny
- Ktoś
- coś
- Dźwięk
- Typ przestrzeni
- obowiązuje
- specjalny
- stany magazynowe
- sznur
- składane
- taki
- apartament
- zdziwiony
- SVG
- Przełącznik
- TAG
- Brać
- technicznie
- mówi
- semestr
- niż
- że
- Połączenia
- ich
- Im
- sami
- Tam.
- w związku z tym
- one
- to
- Przez
- do
- Żetony
- także
- Top
- transakcja
- przejście
- przezroczysty
- próba
- wypróbowany
- SKRĘCAĆ
- włącza
- rodzaj
- zrozumieć
- mało prawdopodobne,
- pilna sprawa
- pilny
- URL
- posługiwać się
- używany
- za pomocą
- zazwyczaj
- wartość
- wersja
- początku.
- przez
- wrażliwość
- chcieć
- poszukiwany
- chce
- ostrzeżenie
- była
- we
- sieć
- Strona internetowa
- strony internetowe
- były
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- szerokość
- będzie
- w
- bez
- słowa
- by
- napisany
- X
- XSS
- jeszcze
- You
- Twój
- zefirnet