Populära samarbetsprodukten Zimbra har varnade kunder att applicera en programvarukorrigering omedelbart för att stänga ett säkerhetshål som det står "kan potentiellt påverka din datas konfidentialitet och integritet."
Sårbarheten är vad som kallas en XSS-bugg, förkortning för cross-site scripting, varigenom att utföra en oskyldigt utseende operation via webbplats X, som att klicka sig vidare till webbplats Y, ger operatören av webbplats X en lömsk chans att implantera falsk JavaScript-kod på webbsidorna som din webbläsare får tillbaka från Y.
Detta innebär i sin tur att X kan få tillgång till ditt konto på webbplats Y, genom att läsa upp och kanske till och med ändra data som annars skulle vara privat för Y, såsom dina kontouppgifter, inloggningscookies, autentiseringstokens, transaktionshistorik , och så vidare.
Förkortningen XSS är ett självbeskrivande namn, eftersom skurkrollen i huvudsak innebär att opålitliga skript flyttas över från en webbplats till det annars betrodda innehållet på en annan webbplats...
…allt utan att behöva bryta sig in på den andra sidan i förväg för att hacka dess HTML-filer eller JavaScript-kod direkt.
Patchat men inte publicerat
Även om buggen nu har korrigerats i Zimbras kod, och det säger företaget "det har tillämpat den här korrigeringen på julisläppet", den har inte publicerat den versionen ännu.
Men plåstret visar sig vara tillräckligt akut för att behövas direkt, eftersom det upptäcktes i en cyberattack i verkligheten av en säkerhetsforskare på Google.
Det gör det till ett fruktat nolldagars exploatering, jargongtermen som används för säkerhetshål som skurkarna hittar först och håller för sig själva.
Zimbra har därför varnat sina kunder att applicera fixen själva för hand, vilket kräver en enradsredigering av en enda datafil i produktens installationskatalog.
Zimbra använde inte riktigt Naked Securitys alldeles egna rimpåminnelse om Dröj inte/gör det idag, men polisens tekniker sa något med samma brådskande nivå i sina egna officiella säkerhetsbulletinen:
Vidta åtgärder. Tillämpa Fix manuellt.
Vi förstår att du kanske vill vidta åtgärder förr snarare än senare för att skydda dina data.
För att upprätthålla den högsta säkerhetsnivån ber vi vänligen ditt samarbete för att tillämpa korrigeringen manuellt på alla dina postlådenoder.
XSS förklarade
Enkelt uttryckt innebär XSS-attacker vanligtvis att lura en server att generera en webbsida som med förtroende inkluderar data som skickas utifrån, utan att kontrollera att uppgifterna är säkra att skicka direkt till användarens webbläsare.
Lika nyfiken (eller så osannolikt) som detta kan låta först, kom ihåg att det är helt normalt att upprepa eller återspegla inmatning i din webbläsare, till exempel när en webbplats vill bekräfta data som du just har angett eller rapportera resultaten av en Sök.
Om du till exempel tittade på en shoppingsajt och du ville se om de hade några heliga graler till salu, skulle du förvänta dig att skriva Holy Grail
i en sökruta, som kan hamna skickas till webbplatsen i en URL så här:
https://example.com/search/?product=Holy%20Grail
(Webbadresser kan inte innehålla mellanslag, så mellanslagstecknet mellan orden konverteras av din webbläsare till %20
, där 20 är ASCII-koden för mellanslag i hexadecimal.)
Och du skulle inte bli förvånad över att se exakt samma ord upprepas på sidan som kom tillbaka, till exempel så här:
Du sökte efter: Holy Grail Sorry. Vi har inga i lager.
Föreställ dig nu att du försökte söka efter en produkt med ett bisarrt namn som heter a Holy<br>Grail
istället bara för att se vad som hände.
Om du fick tillbaka en sida något sånt här...
Du sökte efter: Holy Grail Sorry. Vi har inga i lager.
…istället för vad du förväntar dig, nämligen…
Du sökte efter: Helig Graal Förlåt. Vi har inga i lager.
...då skulle du genast veta att servern i andra änden slarvade med så kallade "speciella" tecken som t.ex. <
(mindre än tecken) och >
(större-än-tecken), som används för att specificera HTML-kommandon, inte bara HTML-data.
HTML-sekvensen <br>
betyder inte bokstavligen "visa texten mindre-än-tecken bokstav-b bokstav-r större-än-tecken", men är istället en HTML-tagg, eller kommando, som betyder "infoga en radbrytning vid denna punkt".
En server som vill skicka ett mindre än-tecken till din webbläsare för att skriva ut på skärmen måste använda den speciella sekvensen <
istället. (Stor-än-tecken, som du kan föreställa dig, är kodade som >
.)
Naturligtvis betyder detta att et-tecken (&
) har också en speciell betydelse, så et-tecken som ska skrivas ut måste kodas som &
, tillsammans med dubbla citattecken ("
) och enstaka citattecken eller apostroftecken ('
).
I det verkliga livet är inte problemet med skriptbara utdatatricks "för det mesta ofarliga" HTML-kommandon som t.ex. <br>
, vilket stör sidlayouten, men farliga HTML-taggar som t.ex <script>
, som låter dig bädda in JavaScript-kod direkt där, direkt på själva webbsidan.
När du har upptäckt att en webbplats inte hanterar sökningar <br>
korrekt, ditt nästa försök kan vara att söka efter något liknande Holy<script>alert('Ooops')</script>Grail
istället.
Om den söktermen returneras precis som du skickade den i första hand, blir effekten att JavaScript-funktionen körs alert()
och för att dyka upp ett meddelande i din webbläsare som säger Ooops
.
Som du kan föreställa dig, skurkar som upptäcker hur man förgiftar webbplatser med rättegång alert()
popup-fönster går snabbt över till att använda sitt nyfunna XSS-hål för att utföra mycket mer snåla operationer.
Dessa kan inkludera att hämta eller ändra data som är relevanta för ditt konto, att skicka meddelanden eller auktorisera åtgärder i ditt namn, och kanske ta tag i autentiseringscookies som gör att brottslingarna själva kan logga in direkt på ditt konto senare.
Förresten, den enradiga patchen som du uppmanas att applicera i Zimbras produktkatalog innebär att du ändrar en artikel i ett inbyggt webbformulär från detta...
…till ett säkrare format, så att value
fältet (som kommer att skickas till din webbläsare som text men aldrig visas, så att du inte ens vet att det finns där när du besöker webbplatsen) är konstruerat enligt följande:
Denna rad med nya utseende säger åt servern (som är skriven i Java) att tillämpa den säkerhetsmedvetna Java-funktionen escapeXml()
till värdet av st
fältet först.
Som du antagligen har gissat, escapeXml()
säkerställer att eventuella rester <
, >
, &
, "
och '
tecken i en textsträng skrivs om i sina korrekta och XSS-resistenta format, med hjälp av <
, >
, &
, "
och '
istället.
Säkerheten först!
Vad göra?
Följ instruktioner för handlappning på Zimbras hemsida.
Vi antar att företag som kör sina egna Zimbra-instanser (eller betalar någon annan för att köra dem för deras räkning) inte kommer att finna patchen tekniskt komplicerad att utföra och snabbt kommer att skapa ett anpassat skript eller program för att göra det åt dem.
Glöm bara inte att du behöver upprepa lappningsprocessen, som Zimbra påminner dig, på alla dina postlådenoder.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Absolut
- tillgång
- åtkomst
- Konto
- tvärs
- Handling
- åtgärder
- avancera
- Alla
- tillåter
- längs
- amp
- an
- och
- Annan
- vilken som helst
- tillämpas
- Ansök
- ÄR
- AS
- At
- Attacker
- Autentisering
- Författaren
- bil
- bort
- tillbaka
- bakgrund-bild
- Badrum
- BE
- därför att
- varit
- vägnar
- Där vi får lov att vara utan att konstant prestera,
- mellan
- gränsen
- Botten
- Box
- Ha sönder
- webbläsare
- Bläddrar
- Bug
- inbyggd
- men
- by
- kallas
- kom
- KAN
- Centrum
- chans
- byte
- karaktär
- tecken
- kontroll
- Stäng
- koda
- samverkan
- färg
- Företag
- företag
- komplex
- konfidentialitet
- Bekräfta
- innehålla
- innehåll
- konverterad
- Cookiepolicy
- samarbete
- korrekt
- Kurs
- täcka
- skapa
- brottslingar
- nyfiken
- beställnings
- Kunder
- Dangerous
- datum
- detaljer
- direkt
- Upptäck
- Visa
- do
- inte
- donation
- inte
- effekt
- annars
- embed
- änden
- tillräckligt
- säkerställer
- gick in i
- väsentligen
- Även
- exempel
- förvänta
- fält
- Fil
- Filer
- hitta
- Förnamn
- Fast
- följer
- För
- formen
- format
- från
- fungera
- generera
- ger
- gissade
- hacka
- hade
- sidan
- hantera
- hänt
- Har
- höjd
- dold
- högsta
- historia
- hålla
- Hål
- Hål
- hovring
- Hur ser din drömresa ut
- How To
- html
- HTTPS
- if
- bild
- blir omedelbart
- Inverkan
- in
- innefattar
- innefattar
- ingång
- Installationen
- exempel
- istället
- integritet
- in
- engagera
- IT
- DESS
- sig
- jargong
- java
- JavaScript
- Juli
- bara
- Ha kvar
- Vet
- känd
- senare
- Layout
- vänster
- Låt
- Nivå
- livet
- tycka om
- linje
- log
- logga in
- bibehålla
- GÖR
- manuellt
- Marginal
- max-bredd
- Maj..
- betyder
- betyder
- endast
- meddelande
- meddelanden
- kanske
- mer
- mycket
- namn
- Behöver
- behövs
- behöver
- behov
- aldrig
- Nästa
- noder
- normala
- nu
- of
- on
- ONE
- drift
- Verksamhet
- Operatören
- or
- Övriga
- annat
- ut
- produktion
- över
- egen
- sida
- sidor
- Lappa
- Patching
- paul
- Betala
- Utföra
- utför
- kanske
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- gift
- pop
- placera
- inlägg
- potentiellt
- exakt
- Skriva ut
- privat
- förmodligen
- Problem
- Produkt
- Program
- ordentligt
- skydda
- publicerade
- Tryckande
- sätta
- snabbt
- snarare
- Läsning
- verklig
- verkliga livet
- erhåller
- relativ
- relevanta
- ihåg
- upprepade
- rapport
- begära
- Kräver
- forskaren
- Resultat
- höger
- Körning
- säker
- säkrare
- Nämnda
- Till Salu
- Samma
- säger
- säger
- screen
- skript
- Sök
- söka
- säkerhet
- se
- sända
- skicka
- skickas
- Sekvens
- Gå och Handla
- Kort
- visas
- signera
- Tecken
- enda
- webbplats
- Lömsk
- So
- Mjukvara
- fast
- någon
- något
- ljud
- Utrymme
- utrymmen
- speciell
- lager
- Sträng
- lämnats
- sådana
- svit
- överraskad
- SVG
- Växla
- MÄRKA
- Ta
- tekniskt
- berättar
- termin
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Där.
- därför
- de
- detta
- Genom
- till
- tokens
- alltför
- topp
- transaktion
- övergång
- transparent
- rättegång
- försökte
- SVÄNG
- vänder
- Typ
- förstå
- osannolik
- urgency
- brådskande
- URL
- användning
- Begagnade
- med hjälp av
- vanligen
- värde
- version
- mycket
- via
- sårbarhet
- vill
- ville
- vill
- varning
- var
- we
- webb
- Webbplats
- webbsidor
- były
- Vad
- när
- som
- medan
- VEM
- bredd
- kommer
- med
- utan
- ord
- skulle
- skriven
- X
- XSS
- ännu
- Om er
- Din
- zephyrnet