Priljubljen izdelek za sodelovanje ima Zimbra opozorili kupci nujno uporabiti popravek programske opreme, da zapolnite varnostno luknjo, ki jo piše "lahko vpliva na zaupnost in celovitost vaših podatkov."
Ranljivost je tisto, kar je znano kot napaka XSS, okrajšava za skripta na več mestih, pri čemer izvajanje nedolžne operacije prek spletnega mesta X, kot je klikanje do spletnega mesta Y, daje upravljavcu spletnega mesta X prikrito priložnost, da v spletne strani, ki jih vaš brskalnik prejme nazaj od Y, vstavi lažno kodo JavaScript.
To pa pomeni, da lahko X na koncu pridobi dostop do vašega računa na mestu Y, tako da prebere in morda celo spremeni podatke, ki bi sicer bili zasebni za Y, kot so podrobnosti vašega računa, prijavni piškotki, žetoni za preverjanje pristnosti, zgodovina transakcij , in tako naprej.
Okrajšava XSS je samoopisno ime, saj prevara v bistvu vključuje potiskanje nezaupanja vrednih skriptov z enega mesta v sicer zaupanja vredno vsebino drugega mesta ...
... vse to, ne da bi morali vnaprej vdreti na drugo spletno mesto, da bi neposredno vdrli v njegove datoteke HTML ali kodo JavaScript.
Popravljeno, vendar neobjavljeno
Čeprav je bila napaka zdaj popravljena v Zimbrini kodi in podjetje to pravi »ta popravek je uporabil za julijsko izdajo«, te različice še ni objavil.
Vendar se izkaže, da je obliž dovolj nujen, da ga potrebujemo takoj, saj so ga opazili v a kibernetski napad v resničnem življenju varnostni raziskovalec pri Googlu.
Zaradi tega je grozljivo izkoriščanje nič dni, izraz v žargonu, ki se uporablja za varnostne luknje, ki jih slabi fantje najprej najdejo in zadržijo zase.
Zimbra je zato svoje stranke opozorila, naj popravek uporabijo sami ročno, kar zahteva urejanje ene same podatkovne datoteke v namestitvenem imeniku izdelka.
Zimbra ni povsem uporabila lastnega rimanega opomnika Naked Security Ne odlašajte/Naredite to danes, vendar so tehniki podjetja povedali nekaj z enako stopnjo nujnosti kot svoje uradni varnostni bilten:
Ukrepajte. Uporabi popravek ročno.
Zavedamo se, da boste morda želeli ukrepati prej kot slej, da zaščitite svoje podatke.
Da bi ohranili najvišjo raven varnosti, vas vljudno prosimo za sodelovanje in ročno uporabite popravek na vseh vozliščih vaših nabiralnikov.
XSS je pojasnil
Preprosto povedano, napadi XSS običajno vključujejo prevaro strežnika, da ustvari spletno stran ki zaupljivo vključuje podatke, posredovane od zunaj, brez preverjanja, ali so podatki varni za neposredno pošiljanje v brskalnik uporabnika.
Ne glede na to, kako radovedno (ali malo verjetno) se to sprva sliši, ne pozabite, da je ponavljanje ali odražanje vnosa nazaj v vaš brskalnik povsem normalno, na primer, ko želi spletno mesto potrditi podatke, ki ste jih pravkar vnesli, ali poročati o rezultatih Iskanje.
Če bi na primer brskali po nakupovalnem mestu in bi želeli videti, ali imajo naprodaj sveti gral, bi pričakovali, da boste vnesli Holy Grail
v iskalno polje, ki se lahko na koncu pošlje spletnemu mestu v URL-ju, kot je ta:
https://example.com/search/?product=Holy%20Grail
(URL-ji ne smejo vsebovati presledkov, zato vaš brskalnik presledek med besedami pretvori v %20
, kjer je 20 koda ASCII za presledek v šestnajstiški obliki.)
In ne bi vas presenetilo, če bi se iste besede ponovile na strani, ki se je vrnila, na primer takole:
Iskali ste: Holy Grail Oprostite. Nimamo jih na zalogi.
Zdaj pa si predstavljajte, da ste poskušali iskati izdelek z nenavadnim imenom, imenovan a Holy<br>Grail
namesto tega samo zato, da vidim, kaj se je zgodilo.
Če bi dobili nazaj stran, podobno tej ...
Iskali ste: Holy Grail Oprostite. Nimamo jih na zalogi.
... namesto tega, kar bi pričakovali, namreč ...
Iskali ste: Holy Grail Oprosti. Nimamo jih na zalogi.
... potem bi takoj vedeli, da je bil strežnik na drugi strani nepreviden s tako imenovanimi "posebnimi" znaki, kot je npr. <
(znak manj kot) in >
(znak večje od), ki se uporabljajo za podajanje ukazov HTML, ne le podatkov HTML.
Zaporedje HTML <br>
dobesedno ne pomeni »prikaži besedilo znak manj kot črka-b črka-r znak večji kot«, vendar je namesto tega oznaka HTML ali ukaz, ki pomeni »vstavi prelom vrstice na tej točki«.
Strežnik, ki želi vašemu brskalniku poslati znak manj kot za tiskanje na zaslonu, mora uporabiti posebno zaporedje <
namesto tega. (Znaki večje od, kot si lahko predstavljate, so kodirani kot >
.)
Seveda to pomeni, da znak ampersand (&
) ima tudi poseben pomen, zato morajo biti znaki &, ki jih je treba natisniti, kodirani kot &
, skupaj z dvojnimi narekovaji ("
) in enojni narekovaji ali apostrofi ('
).
V resničnem življenju težava z izhodnimi zvijačami, ki jih je mogoče skriptirati med spletnimi mesti, niso »večinoma neškodljivi« ukazi HTML, kot je npr. <br>
, ki moti postavitev strani, vendar nevarne oznake HTML, kot je npr <script>
, ki vam omogočajo vdelavo kode JavaScript kar tja, neposredno na samo spletno stran.
Ko opazite, da spletno mesto ne podpira iskanja <br>
pravilno, bo vaš naslednji poskus morda iskanje nečesa podobnega Holy<script>alert('Ooops')</script>Grail
namesto tega.
Če je ta iskalni izraz vrnjen natanko tako, kot ste ga najprej poslali, bo učinek zagnal funkcijo JavaScript alert()
in da se prikaže sporočilo v vašem brskalniku, ki pravi Ooops
.
Kot si lahko predstavljate, prevaranti, ki odkrijejo, kako zastrupiti spletna mesta s poskusom alert()
pojavna okna hitro preklopijo na uporabo svoje novo najdene luknje XSS za izvajanje veliko bolj zvitih operacij.
To lahko vključuje pridobivanje ali spreminjanje podatkov, pomembnih za vaš račun, pošiljanje sporočil ali avtoriziranje dejanj v vašem imenu in morda prevzemanje piškotkov za preverjanje pristnosti, ki bodo kriminalcem omogočili, da se kasneje neposredno prijavijo nazaj v vaš račun.
Mimogrede, enovrstični popravek, ki ga morate uporabiti v imeniku izdelkov Zimbra, vključuje spreminjanje elementa v vgrajenem spletnem obrazcu iz tega ...
… v varnejši format, tako da value
polje (ki bo poslano vašemu brskalniku kot besedilo, vendar nikoli prikazano, tako da sploh ne boste vedeli, da je tam, ko dostopate do spletnega mesta) je sestavljeno takole:
Ta vrstica novega videza pove strežniku (ki je napisan v Javi), naj uporabi varnostno ozaveščeno funkcijo Java escapeXml()
na vrednost st
polje najprej.
Kot ste verjetno uganili, escapeXml()
zagotavlja, da morebitni ostanki <
, >
, &
, "
in '
znaki v besedilnem nizu so prepisani v svojih pravilnih formatih, odpornih na XSS, z uporabo <
, >
, &
, "
in '
namesto tega.
Varnost na prvem mestu!
Kaj storiti?
Sledite navodila za ročno krpanje na spletni strani Zimbra.
Predvidevamo, da se podjetjem, ki izvajajo lastne primerke Zimbra (ali plačajo nekomu drugemu, da jih izvaja v njihovem imenu), popravek ne bo tehnično zapleten za izvedbo, zato bodo hitro ustvarila skript po meri ali program, ki bo to naredil namesto njih.
Samo ne pozabite, da morate ponovite postopek popravka, kot vas spominja Zimbra, na vseh vozliščih vašega nabiralnika.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- absolutna
- dostop
- Dostop
- Račun
- čez
- Ukrep
- dejavnosti
- napredovanje
- vsi
- omogočajo
- skupaj
- amp
- an
- in
- Še ena
- kaj
- uporabna
- Uporabi
- SE
- AS
- At
- Napadi
- Preverjanje pristnosti
- Avtor
- avto
- stran
- nazaj
- ozadja, slike
- Slab
- BE
- ker
- bilo
- ime
- počutje
- med
- meja
- Bottom
- Pasovi
- Break
- brskalnik
- Brskanje
- Bug
- vgrajeno
- vendar
- by
- se imenuje
- prišel
- CAN
- center
- priložnost
- spreminjanje
- značaja
- znaki
- preverjanje
- Zapri
- Koda
- sodelovanje
- barva
- Podjetja
- podjetje
- kompleksna
- zaupnost
- Potrdi
- vsebujejo
- vsebina
- pretvori
- piškotki
- sodelovanje
- popravi
- Tečaj
- pokrov
- ustvarjajo
- Kriminalci
- radovedna
- po meri
- Stranke, ki so
- Nevarno
- datum
- Podrobnosti
- neposredno
- odkriti
- zaslon
- do
- Ne
- don
- dont
- učinek
- ostalo
- Embed
- konec
- dovolj
- zagotavlja
- vneseno
- v bistvu
- Tudi
- Primer
- pričakovati
- Polje
- file
- datoteke
- Najdi
- prva
- fiksna
- sledi
- za
- obrazec
- format
- iz
- funkcija
- ustvarjajo
- daje
- ugibati
- kramp
- imel
- strani
- ročaj
- se je zgodilo
- Imajo
- višina
- skrita
- najvišja
- zgodovina
- držite
- Luknja
- Luknje
- hover
- Kako
- Kako
- HTML
- HTTPS
- if
- slika
- takoj
- vpliv
- in
- vključujejo
- vključuje
- vhod
- namestitev
- primer
- Namesto
- celovitost
- v
- vključujejo
- IT
- ITS
- sam
- žargon
- Java
- JavaScript
- julij
- samo
- Imejte
- Vedite
- znano
- pozneje
- postavitev
- levo
- Naj
- Stopnja
- življenje
- kot
- vrstica
- prijavi
- prijava
- vzdrževati
- IZDELA
- ročno
- Marža
- max širine
- Maj ..
- kar pomeni,
- pomeni
- zgolj
- Sporočilo
- sporočil
- morda
- več
- veliko
- Ime
- Nimate
- potrebna
- potrebujejo
- potrebe
- nikoli
- Naslednja
- vozlišča
- normalno
- zdaj
- of
- on
- ONE
- Delovanje
- operacije
- operater
- or
- Ostalo
- drugače
- ven
- izhod
- več
- lastne
- Stran
- strani
- Patch
- Zaplata
- paul
- Plačajte
- Izvedite
- izvajati
- mogoče
- Kraj
- platon
- Platonova podatkovna inteligenca
- PlatoData
- strup
- pop
- Stališče
- Prispevkov
- potencialno
- Ravno
- Tiskanje
- zasebna
- verjetno
- problem
- Izdelek
- Program
- pravilno
- zaščito
- objavljeno
- Potiskanje
- dal
- hitro
- precej
- reading
- pravo
- resnično življenje
- prejme
- relativna
- pomembno
- ne pozabite
- ponovi
- poročilo
- zahteva
- zahteva
- raziskovalec
- Rezultati
- Pravica
- Run
- varna
- varnejši
- Je dejal
- prodaja
- Enako
- rek
- pravi
- Zaslon
- skripte
- Iskalnik
- iskanje
- varnost
- glej
- pošljite
- pošiljanja
- poslan
- Zaporedje
- Nakupovalna
- Kratke Hlače
- pokazale
- podpisati
- Znaki
- sam
- spletna stran
- Sneaky
- So
- Software
- trdna
- nekdo
- Nekaj
- zvok
- Vesolje
- prostori
- posebna
- zaloge
- String
- predložen
- taka
- apartma
- presenečen
- SVG
- Preklop
- TAG
- Bodite
- tehnično
- pove
- Izraz
- kot
- da
- O
- njihove
- Njih
- sami
- Tukaj.
- zato
- jih
- ta
- skozi
- do
- Boni
- tudi
- vrh
- transakcija
- Prehod
- pregleden
- sojenje
- Poskušal
- OBRAT
- zavoji
- tip
- razumeli
- malo verjetno
- nujnost
- nujno
- URL
- uporaba
- Rabljeni
- uporabo
- navadno
- vrednost
- različica
- zelo
- preko
- ranljivost
- želeli
- hotel
- želi
- opozorilo
- je
- we
- web
- Spletna stran
- spletne strani
- so bili
- Kaj
- kdaj
- ki
- medtem
- WHO
- širina
- bo
- z
- brez
- besede
- bi
- pisni
- X
- XSS
- še
- Vi
- Vaša rutina za
- zefirnet