Популярний продукт для співпраці Zimbra попередив клієнтів терміново застосувати виправлення програмного забезпечення, щоб закрити дірку в безпеці, про яку йдеться «може потенційно вплинути на конфіденційність і цілісність ваших даних».
Уразливість відома як помилка XSS, скорочення від міжсайтовий сценарій, завдяки чому виконання невинної на вигляд операції через сайт X, як-от перехід на сайт Y, дає оператору сайту X прихований шанс імплантувати фальшивий код JavaScript на веб-сторінки, які ваш браузер отримує назад від Y.
Це, у свою чергу, означає, що X може отримати доступ до вашого облікового запису на сайті Y, зчитуючи та, можливо, навіть змінюючи дані, які в іншому випадку були б приватними для Y, наприклад дані вашого облікового запису, файли cookie для входу, маркери автентифікації, історію транзакцій , і так далі.
Абревіатура XSS є самоописовою назвою, оскільки шахрайство, по суті, включає в себе просування ненадійних сценаріїв з одного сайту в надійний вміст іншого сайту...
… без необхідності проникати на інший сайт заздалегідь, щоб зламати його файли HTML або код JavaScript.
Виправлено, але не опубліковано
Хоча зараз помилку в коді Zimbra виправлено, і компанія це каже «Це виправлення застосовано до липневого випуску», він ще не опублікував цю версію.
Але патч виявляється настільки терміновим, що знадобиться негайно, оскільки його помітили в a кібератака в реальному житті дослідником безпеки в Google.
Це робить його страшним експлуатація нульового дня, жаргонний термін, який використовується для позначення дірок у безпеці, які погані хлопці знаходять першими та залишають при собі.
Тому Zimbra попереджає своїх клієнтів застосовувати виправлення самостійно вручну, що вимагає редагування одного рядка в одному файлі даних у каталозі встановлення продукту.
Zimbra не зовсім використала власне римоване нагадування Naked Security Не зволікайте/Зробіть це сьогодні, але техніки копманії сказали щось з таким же рівнем терміновості, як і вони самі офіційний бюлетень безпеки:
Вжити заходів. Застосувати виправлення вручну.
Ми розуміємо, що ви, можливо, захочете вжити заходів раніше, ніж пізніше, щоб захистити свої дані.
Щоб підтримувати найвищий рівень безпеки, ми просимо вас співпрацювати, щоб застосувати виправлення вручну на всіх вузлах вашої поштової скриньки.
Пояснення XSS
Простіше кажучи, XSS-атаки зазвичай передбачають обманним шляхом змусити сервер створити веб-сторінку який довірливо включає дані, надіслані ззовні, не перевіряючи безпечність даних для надсилання безпосередньо в браузер користувача.
Як би дивно (або як малоймовірно) це не звучало спочатку, пам’ятайте, що повторення або відображення введених даних назад у вашому браузері є абсолютно нормальним явищем, наприклад, коли сайт хоче підтвердити дані, які ви щойно ввели, або повідомити про результати пошук.
Наприклад, якщо ви переглядаєте торговельний сайт і бажаєте дізнатися, чи є там Святий Грааль у продажу, ви б очікували ввести Holy Grail
у вікно пошуку, яке в кінцевому підсумку може бути надіслано на сайт за такою URL-адресою:
https://example.com/search/?product=Holy%20Grail
(URL-адреси не можуть містити пробіли, тому пробіл між словами ваш браузер перетворює на %20
, де 20 — код ASCII для пробілу в шістнадцятковій системі.)
І ви не здивуєтесь, побачивши ті самі слова, що повторюються на сторінці, яка повернулася, наприклад, так:
Ви шукали: Святий Грааль. Вибачте. У нас немає в наявності.
А тепер уявіть, що ви намагалися шукати продукт із дивною назвою під назвою a Holy<br>Grail
натомість просто подивитися, що сталося.
Якщо ви повернули сторінку приблизно так…
Ви шукали: Святий Грааль. Вибачте. У нас немає в наявності.
...замість того, що ви очікували, а саме...
Ви шукали: Святий Грааль Вибачте. У нас немає в наявності.
…тоді ви відразу зрозумієте, що сервер на іншому кінці недбало ставився до так званих «спеціальних» символів, таких як <
(знак менше) і >
(знак більше), які використовуються для вказівки команд HTML, а не просто даних HTML.
Послідовність HTML <br>
буквально не означає «відображати текст». знак менше буква-b буква-r знак більше“, але натомість є HTML-тегом або командою, що означає “вставити розрив рядка в цьому місці”.
Сервер, який хоче надіслати вашому браузеру знак менше для друку на екрані, повинен використовувати спеціальну послідовність <
замість цього. (Знаки «більше», як ви можете собі уявити, кодуються як >
.)
Звичайно, це означає, що символ амперсанда (&
) також має особливе значення, тому амперсанди, які потрібно роздрукувати, мають бути закодовані як &
разом із подвійними лапками ("
) і одинарні лапки або апостроф ('
).
У реальному житті проблема з обманом виводу міжсайтового сценарію полягає не в «переважно нешкідливих» командах HTML, таких як <br>
, що порушує макет сторінки, але небезпечні теги HTML, такі як <script>
, які дозволяють вставляти код JavaScript прямо туди, безпосередньо на самій веб-сторінці.
Як тільки ви помітили, що сайт не підтримує пошук <br>
правильно, вашою наступною спробою може бути пошук чогось подібного Holy<script>alert('Ooops')</script>Grail
замість цього.
Якщо цей пошуковий термін буде повернено саме так, як ви його надіслали, результатом буде запуск функції JavaScript alert()
і щоб у вашому браузері з’явилося спливаюче повідомлення з написом Ooops
.
Як ви можете собі уявити, шахраї, які дізнаються, як отруїти веб-сайти за допомогою суду alert()
спливаючі вікна швидко перемикаються на використання нової знайденої діри XSS для виконання значно хитріших операцій.
Це може включати отримання або зміну даних, пов’язаних із вашим обліковим записом, надсилання повідомлень або авторизацію дій від вашого імені та, можливо, захоплення файлів cookie для автентифікації, які дозволять зловмисникам самостійно увійти у ваш обліковий запис пізніше.
До речі, однорядковий патч, який вам пропонується застосувати в каталозі продуктів Zimbra, передбачає зміну елемента у вбудованій веб-формі з цього…
…у більш безпечний формат, щоб value
поле (яке надсилатиметься у ваш браузер як текст, але ніколи не відображатиметься, тож ви навіть не дізнаєтеся, що воно є під час доступу до сайту) побудовано таким чином:
Цей рядок нового вигляду повідомляє серверу (написаному мовою Java) застосувати функцію Java, яка вимагає безпеки. escapeXml()
до вартості st
спочатку поле.
Як ви напевно здогадалися, escapeXml()
гарантує, що будь-які залишки <
, >
, &
, "
та '
символи в текстовому рядку переписуються у своїх правильних і стійких до XSS форматах за допомогою <
, >
, &
, "
та '
замість цього.
Безпека перш всього!
Що ж робити?
Слідуйте інструкції з латання вручну на веб-сайті Zimbra.
Ми припускаємо, що компанії, які запускають власні екземпляри Zimbra (або платять комусь іншому за запуск їх від їх імені), не вважатимуть технічно складним для виконання виправлення, і вони швидко створять спеціальний сценарій або програму, щоб зробити це за них.
Тільки не забувайте, що вам потрібно повторіть процес латання, як нагадує Zimbra, на всіх вузлах вашої поштової скриньки.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- : має
- :є
- : ні
- :де
- $UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- абсолют
- доступ
- доступ до
- рахунки
- через
- дію
- дії
- просування
- ВСІ
- дозволяти
- по
- amp
- an
- та
- Інший
- будь-який
- прикладної
- Застосовувати
- ЕСТЬ
- AS
- At
- нападки
- Authentication
- автор
- автоматичний
- геть
- назад
- фонове зображення
- поганий
- BE
- оскільки
- було
- імені
- буття
- між
- border
- дно
- Box
- Перерва
- браузер
- Перегляд
- Помилка
- вбудований
- але
- by
- званий
- прийшов
- CAN
- Центр
- шанс
- заміна
- характер
- символи
- контроль
- близько
- код
- співробітництво
- color
- Компанії
- компанія
- комплекс
- конфіденційність
- підтвердити
- містити
- зміст
- перероблений
- печиво
- співробітництво
- виправити
- Курс
- обкладинка
- створювати
- злочинці
- цікавий
- виготовлений на замовлення
- Клієнти
- Небезпечний
- дані
- деталі
- безпосередньо
- відкрити
- дисплей
- do
- Ні
- Дон
- Не знаю
- ефект
- ще
- Вставляти
- кінець
- досить
- гарантує
- увійшов
- по суті
- Навіть
- приклад
- очікувати
- поле
- філе
- Файли
- знайти
- Перший
- виправляти
- слідує
- для
- форма
- формат
- від
- функція
- породжує
- дає
- здогадався
- зламати
- було
- рука
- обробляти
- сталося
- Мати
- висота
- прихований
- найвищий
- історія
- тримати
- Hole
- Отвори
- hover
- Як
- How To
- HTML
- HTTPS
- if
- картина
- негайно
- Impact
- in
- включати
- includes
- вхід
- установка
- екземпляр
- замість
- цілісність
- в
- залучати
- IT
- ЙОГО
- сам
- жаргон
- Java
- JavaScript
- липень
- просто
- тримати
- Знати
- відомий
- пізніше
- макет
- залишити
- дозволяти
- рівень
- життя
- як
- Лінія
- журнал
- Логін
- підтримувати
- РОБОТИ
- вручну
- Маржа
- макс-ширина
- Може..
- сенс
- засоби
- просто
- повідомлення
- повідомлення
- може бути
- більше
- багато
- ім'я
- Необхідність
- необхідний
- нужденних
- потреби
- ніколи
- наступний
- вузли
- нормальний
- зараз
- of
- on
- ONE
- операція
- операції
- оператор
- or
- Інше
- інакше
- з
- вихід
- над
- власний
- сторінка
- сторінок
- пластир
- Виправлення
- Пол
- Платити
- Виконувати
- виконанні
- може бути
- місце
- plato
- Інформація про дані Платона
- PlatoData
- отрута
- поп
- положення
- Пости
- потенційно
- точно
- друк
- приватний
- ймовірно
- Проблема
- Product
- програма
- правильно
- захист
- опублікований
- Натискання
- put
- швидко
- швидше
- читання
- реальний
- справжнє життя
- отримує
- відносний
- доречний
- запам'ятати
- повторний
- звітом
- запросити
- Вимагається
- дослідник
- результати
- право
- прогін
- сейф
- безпечніше
- Зазначений
- sale
- то ж
- приказка
- говорить
- Екран
- scripts
- Пошук
- Грати короля карти - безкоштовно Nijumi логічна гра гри
- безпеку
- побачити
- послати
- відправка
- посланий
- Послідовність
- покупка
- Короткий
- показаний
- підпис
- Ознаки
- один
- сайт
- Підлий
- So
- Софтвер
- solid
- Хтось
- що в сім'ї щось
- Звучати
- Простір
- пробіли
- спеціальний
- акції
- рядок
- представлений
- такі
- набір
- здивований
- SVG
- перемикач
- TAG
- Приймати
- технічно
- розповідає
- термін
- ніж
- Що
- Команда
- їх
- Їх
- самі
- Там.
- отже
- вони
- це
- через
- до
- Жетони
- занадто
- топ
- угода
- перехід
- прозорий
- суд
- намагався
- ПЕРЕГЛЯД
- повороти
- тип
- розуміти
- навряд чи
- терміновість
- терміново
- URL
- використання
- використовуваний
- використання
- зазвичай
- значення
- версія
- дуже
- через
- вразливість
- хотіти
- хотів
- хоче
- попередження
- було
- we
- Web
- веб-сайт
- веб-сайти
- були
- Що
- коли
- який
- в той час як
- ВООЗ
- ширина
- волі
- з
- без
- слова
- б
- письмовий
- X
- XSS
- ще
- Ти
- вашу
- зефірнет