Produsul de colaborare popular pe care îl are Zimbra a avertizat clienții pentru a aplica urgent un patch software pentru a închide o gaură de securitate pe care scrie „ar putea afecta confidențialitatea și integritatea datelor dumneavoastră.”
Vulnerabilitatea este ceea ce este cunoscut ca un bug XSS, prescurtare pentru scripturi cross-site, prin care efectuarea unei operațiuni cu aspect inocent prin intermediul site-ului X, cum ar fi accesarea site-ului Y, oferă operatorului site-ului X o șansă furioasă de a implanta cod JavaScript necinstite în paginile web pe care browserul dvs. le primește înapoi de la Y.
Aceasta, la rândul său, înseamnă că X poate ajunge să aibă acces la contul tău pe site-ul Y, citind și poate chiar modificând date care altfel ar fi private pentru Y, cum ar fi detaliile contului tău, module cookie de conectare, jetoane de autentificare, istoricul tranzacțiilor. , și așa mai departe.
Abrevierea XSS este un nume auto-descriptiv, pentru că delictul implică, în esență, împingerea de scripturi care nu sunt de încredere de la un site în conținutul de încredere al altui site...
...totul fără a fi nevoie să pătrundeți în celălalt site în avans pentru a-și sparge fișierele HTML sau codul JavaScript direct.
Patched, dar nepublicat
Deși bug-ul a fost corectat acum în codul Zimbra, iar compania spune asta „a aplicat această remediere la versiunea din iulie”, nu a publicat încă acea versiune.
Dar plasturele se dovedește a fi suficient de urgent pentru a fi necesar imediat, pentru că a fost depistat într-un atac cibernetic din viața reală de un cercetător de securitate de la Google.
Asta îl face să fie de temut exploatare de zile zero, termenul din jargon folosit pentru găurile de securitate pe care Băieții Răi le găsesc mai întâi și le păstrează pentru ei înșiși.
Prin urmare, Zimbra și-a avertizat clienții să aplice singuri remedierea manual, ceea ce necesită o editare pe o singură linie a unui singur fișier de date din directorul de instalare al produsului.
Zimbra nu prea a folosit propriul memento-rime al Naked Security Nu întârzia/Fă-o astăzi, dar tehnicienii copmany au spus ceva cu același nivel de urgență în ei buletinul oficial de securitate:
Ia măsuri. Aplicați manual remedierea.
Înțelegem că este posibil să doriți să luați măsuri mai devreme decât mai târziu pentru a vă proteja datele.
Pentru a menține cel mai înalt nivel de securitate, vă solicităm colaborarea pentru a aplica manual remedierea pe toate nodurile căsuței dvs. poștale.
XSS a explicat
Mai simplu spus, atacurile XSS implică de obicei păcălirea unui server pentru a genera o pagină web care include cu încredere date transmise din exterior, fără a verifica dacă datele sunt sigure pentru a fi trimise direct către browserul utilizatorului.
Oricât de curios (sau de puțin probabil) ar putea părea la început, amintiți-vă că repetarea sau reflectarea intrării înapoi în browser este perfect normală, de exemplu atunci când un site dorește să confirme datele pe care tocmai le-ați introdus sau să raporteze rezultatele unei căutare.
Dacă, de exemplu, navigați pe un site de cumpărături și doriți să vedeți dacă au Sfintele Graal de vânzare, v-ați aștepta să tastați Holy Grail
într-o casetă de căutare, care ar putea ajunge să fie trimisă pe site într-o adresă URL ca aceasta:
https://example.com/search/?product=Holy%20Grail
(Adresele URL nu pot conține spații, astfel încât caracterul spațiu dintre cuvinte este convertit de browser în %20
, unde 20 este codul ASCII pentru spațiu în hexazecimal.)
Și nu ai fi surprins să vezi aceleași cuvinte repetate în pagina care a revenit, de exemplu, așa:
Ai căutat: Sfântul Graal Ne pare rău. Nu avem niciunul în stoc.
Acum imaginați-vă că ați încercat să căutați un produs cu nume bizar numit a Holy<br>Grail
în schimb, doar pentru a vedea ce s-a întâmplat.
Dacă ai primit înapoi o pagină așa ceva...
Ai căutat: Sfântul Graal Ne pare rău. Nu avem niciunul în stoc.
… în loc de ceea ce te-ai aștepta, și anume...
Ai căutat: Sfânt Graal Îmi pare rău. Nu avem niciunul în stoc.
… atunci veți ști imediat că serverul de la celălalt capăt era neglijent cu așa-numitele personaje „speciale” precum <
(semnul mai puțin decât) și >
(semnul mai mare decât), care sunt folosite pentru a specifica comenzi HTML, nu doar date HTML.
Secvența HTML <br>
nu înseamnă literal „afișează textul semn mai mic decât litera-b litera-r semnul mai mare decât„, dar este în schimb o etichetă HTML sau o comandă, care înseamnă „inserați o întrerupere de linie în acest moment”.
Un server care dorește să trimită browserului dvs. un semn de tipărire pe ecran trebuie să utilizeze secvența specială <
in schimb. (Semnele mai mari decât, după cum vă puteți imagina, sunt codificate ca >
.)
Desigur, acest lucru înseamnă că caracterul ampersand (&
) are, de asemenea, o semnificație specială, așa că semnele și semnele de tipărit trebuie să fie codificate ca &
, împreună cu ghilimele duble ("
) și ghilimele simple sau semne de apostrof ('
).
În viața reală, problema cu înșelătoriile de ieșire cu scripturi între site-uri nu sunt comenzile HTML „în mare parte inofensive”, cum ar fi <br>
, care perturbă aspectul paginii, dar etichete HTML periculoase, cum ar fi <script>
, care vă permit să încorporați cod JavaScript chiar acolo, direct în pagina web în sine.
Odată ce ați observat că un site nu se ocupă de căutare <br>
corect, următoarea ta încercare ar putea fi să cauți ceva de genul Holy<script>alert('Ooops')</script>Grail
in schimb.
Dacă acel termen de căutare este returnat exact așa cum l-ați trimis în primul rând, efectul va fi rularea funcției JavaScript alert()
și să afișeze un mesaj în browser care spune Ooops
.
După cum vă puteți imagina, escrocii care descoperă cum să otrăvească site-urile web prin proces alert()
ferestrele pop-up trec rapid la utilizarea noului lor orificiu XSS pentru a efectua operațiuni mult mai ocolitoare.
Acestea pot include preluarea sau modificarea datelor relevante pentru contul dvs., trimiterea de mesaje sau autorizarea acțiunilor în numele dvs. și, probabil, preluarea cookie-urilor de autentificare care vor permite infractorilor înșiși să se conecteze direct la contul dvs. mai târziu.
De altfel, patch-ul cu o singură linie pe care ești îndemnat să îl aplici în directorul de produse Zimbra implică schimbarea unui articol într-un formular web încorporat din acest...
… într-un format mai sigur, astfel încât value
câmpul (care va fi trimis browserului dvs. ca text, dar nu va fi afișat niciodată, așa că nici măcar nu veți ști că este acolo în timp ce accesați site-ul) este construit după cum urmează:
Această linie cu aspect nou îi spune serverului (care este scris în Java) să aplice funcția Java conștientă de securitate escapeXml()
la valoarea de st
primul câmp.
După cum probabil ați ghicit, escapeXml()
asigură că orice resturi <
, >
, &
, "
și '
caracterele dintr-un șir de text sunt rescrise în formatele lor corecte și rezistente la XSS, folosind <
, >
, &
, "
și '
in schimb.
Siguranță mai întâi!
Ce să fac?
Urmați instrucțiuni de aplicare manuală pe site-ul Zimbra.
Presupunem că companiile care își execută propriile instanțe Zimbra (sau plătesc pe altcineva să le ruleze în numele lor) nu vor găsi corecția complexă din punct de vedere tehnic și vor crea rapid un script sau un program personalizat pentru a le face.
Doar nu uita că trebuie repetați procesul de corecție, așa cum vă amintește Zimbra, pe toate nodurile cutiei poștale.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Absolut
- acces
- accesarea
- Cont
- peste
- Acțiune
- acțiuni
- avansa
- TOATE
- permite
- de-a lungul
- amp
- an
- și
- O alta
- Orice
- aplicat
- Aplică
- SUNT
- AS
- At
- Atacuri
- Autentificare
- autor
- Auto
- departe
- înapoi
- imagine de fundal
- Rău
- BE
- deoarece
- fost
- folosul
- fiind
- între
- frontieră
- De jos
- Cutie
- Pauză
- browser-ul
- Navigare
- Bug
- construit-in
- dar
- by
- denumit
- a venit
- CAN
- Centru
- șansă
- schimbarea
- caracter
- caractere
- control
- Închide
- cod
- colaborare
- culoare
- Companii
- companie
- complex
- confidențialitate
- Confirma
- conţine
- conţinut
- convertit
- fursecuri
- cooperare
- corecta
- Curs
- acoperi
- crea
- criminali
- curios
- personalizat
- clienţii care
- Periculos
- de date
- detalii
- direct
- descoperi
- Afişa
- do
- Nu
- don
- Dont
- efect
- altfel
- încastra
- capăt
- suficient de
- asigură
- a intrat
- În esență,
- Chiar
- exemplu
- aștepta
- camp
- Fișier
- Fişiere
- Găsi
- First
- Repara
- urmează
- Pentru
- formă
- format
- din
- funcţie
- generator
- oferă
- ghicit
- hack
- HAD
- mână
- manipula
- sa întâmplat
- Avea
- înălțime
- Ascuns
- cea mai mare
- istorie
- deţine
- Gaură
- găuri
- planare
- Cum
- Cum Pentru a
- HTML
- HTTPS
- if
- imagina
- imediat
- Impactul
- in
- include
- include
- intrare
- instalare
- instanță
- in schimb
- integritate
- în
- implica
- IT
- ESTE
- în sine
- jargon
- Java
- JavaScript
- iulie
- doar
- A pastra
- Cunoaște
- cunoscut
- mai tarziu
- Aspect
- stânga
- lăsa
- Nivel
- Viaţă
- ca
- Linie
- log
- Logare
- menține
- FACE
- manual
- Margine
- max-width
- Mai..
- sens
- mijloace
- pur și simplu
- mesaj
- mesaje
- ar putea
- mai mult
- mult
- nume
- Nevoie
- necesar
- au nevoie
- nevoilor
- nu
- următor
- noduri
- normală.
- acum
- of
- on
- ONE
- operaţie
- Operațiuni
- operator
- or
- Altele
- in caz contrar
- afară
- producție
- peste
- propriu
- pagină
- pagini
- Plasture
- patching
- Paul
- Plătește
- Efectua
- efectuarea
- poate
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- otravă
- pop
- poziţie
- postări
- potenţial
- tocmai
- privat
- probabil
- Problemă
- Produs
- Program
- cum se cuvine
- proteja
- publicat
- împingerea
- pune
- repede
- mai degraba
- Citind
- real
- viata reala
- primește
- relativ
- minte
- repetat
- raportează
- solicita
- Necesită
- cercetător
- REZULTATE
- dreapta
- Alerga
- sigur
- mai sigur
- Said
- sare
- acelaşi
- spunând
- spune
- Ecran
- script-uri
- Caută
- căutare
- securitate
- vedea
- trimite
- trimitere
- trimis
- Secvenţă
- Cumpărături
- Pantaloni scurți
- indicat
- semna
- Semne
- singur
- teren
- Meschin
- So
- Software
- solid
- Cineva
- ceva
- Suna
- Spaţiu
- spații
- special
- stoc
- Şir
- prezentat
- astfel de
- suită
- uimit
- SVG
- Intrerupator
- TAG
- Lua
- tehnic
- spune
- durată
- decât
- acea
- lor
- Lor
- se
- Acolo.
- prin urmare
- ei
- acest
- Prin
- la
- indicativele
- de asemenea
- top
- tranzacție
- tranziţie
- transparent
- proces
- încercat
- ÎNTORCĂ
- se transformă
- tip
- înţelege
- improbabil
- urgenţă
- urgent
- URL-ul
- utilizare
- utilizat
- folosind
- obișnuit
- valoare
- versiune
- foarte
- de
- vulnerabilitate
- vrea
- dorit
- vrea
- de avertizare
- a fost
- we
- web
- website
- site-uri web
- au fost
- Ce
- cand
- care
- în timp ce
- OMS
- lățime
- voi
- cu
- fără
- cuvinte
- ar
- scris
- X
- XSS
- încă
- Tu
- Ta
- zephyrnet