מוצר שיתוף פעולה פופולרי שיש ל-Zimbra הזהיר לקוחות להחיל תיקון תוכנה בדחיפות כדי לסגור חור אבטחה שכתוב עליו "עשוי להשפיע על הסודיות ושלמות הנתונים שלך."
הפגיעות היא מה שמכונה באג XSS, קיצור של סקריפטים חוצה אתרים, לפיה ביצוע פעולה תמימה למראה דרך אתר X, כגון לחיצה לאתר Y, נותנת למפעיל אתר X הזדמנות ערמומית להשתיל קוד JavaScript נוכל לדפי האינטרנט שהדפדפן שלך מקבל בחזרה מ-Y.
זה, בתורו, אומר ש-X עשוי בסופו של דבר לקבל גישה לחשבון שלך באתר Y, על ידי קריאה ואולי אפילו שינוי של נתונים שאחרת יהיו פרטיים עבור Y, כגון פרטי החשבון שלך, קובצי Cookie לכניסה, אסימוני אימות, היסטוריית עסקאות , וכולי.
הקיצור XSS הוא שם המתאר את עצמו, מכיוון שהנוכלות כוללת בעצם דחיפת סקריפטים לא מהימנים מעבר לאתר אחד לתוכן מהימן אחרת של אתר אחר...
...הכל ללא צורך לפרוץ מראש לאתר השני כדי לפרוץ ישירות לקבצי ה-HTML או לקוד ה-JavaScript.
תוקן אך לא פורסם
למרות שהבאג תוקן כעת בקוד של זימברה, והחברה אומרת את זה "זה החיל את התיקון הזה על מהדורת יולי", הוא עדיין לא פרסם את הגרסה הזו.
אבל התיקון מתברר כדחוף מספיק כדי שיהיה צורך מיד, כי הוא זוהה ב- מתקפת סייבר בחיים האמיתיים על ידי חוקר אבטחה בגוגל.
זה הופך את זה למפחיד ניצול יום אפס, מונח הז'רגון המשמש לחורי אבטחה שהחבר'ה הרעים מוצאים קודם ושומרים לעצמם.
לכן, זימברה הזהירה את לקוחותיה להחיל את התיקון בעצמם באופן ידני, מה שמצריך עריכה בשורה אחת לקובץ נתונים בודד בספריית ההתקנה של המוצר.
זימברה לא ממש השתמשה בתזכורת המחורזת של Naked Security אל תתמהמה / תעשה את זה היום, אבל אנשי הטכנולוגיה של החברה אמרו משהו באותה רמת דחיפות בפני עצמם עלון אבטחה רשמי:
לפעול. החל תיקון באופן ידני.
אנו מבינים שייתכן שתרצה לנקוט בפעולה במוקדם ולא במאוחר כדי להגן על הנתונים שלך.
כדי לשמור על רמת האבטחה הגבוהה ביותר, אנו מבקשים את שיתוף הפעולה שלך כדי להחיל את התיקון באופן ידני על כל צמתי תיבת הדואר שלך.
XSS הסביר
במילים פשוטות, התקפות XSS כרוכות בדרך כלל בהטעיית שרת ליצור דף אינטרנט שכוללת באופן אמין נתונים שנשלחו מבחוץ, מבלי לבדוק שהנתונים בטוחים לשליחה ישירות לדפדפן של המשתמש.
עד כמה שזה עשוי להישמע סקרן (או לא סביר) בהתחלה, זכור שחזרה או שיקוף של קלט בחזרה לדפדפן שלך הוא נורמלי לחלוטין, למשל כאשר אתר רוצה לאשר נתונים שזה עתה הזנת או לדווח על תוצאות של לחפש.
אם אתה גולש באתר קניות, למשל, ורצית לראות אם יש להם גביעים קדושים למכירה, היית מצפה להקליד Holy Grail לתוך תיבת חיפוש, שעשויה בסופו של דבר להישלח לאתר בכתובת URL כזו:
https://example.com/search/?product=Holy%20Grail
(כתובות אתרים אינן יכולות להכיל רווחים, לכן תו הרווח בין המילים מומר על ידי הדפדפן שלך ל %20, כאשר 20 הוא קוד ASCII עבור רווח בהקסדצימלי.)
ולא תתפלאו לראות את אותן מילים שחוזרות על עצמן בעמוד שחזר, למשל כך:
חיפשת: הגביע הקדוש סליחה. אין לנו במלאי.
עכשיו תאר לעצמך שניסית לחפש מוצר בעל שם מוזר בשם a Holy<br>Grail במקום זאת, רק כדי לראות מה קרה.
אם חזרת לדף משהו כזה...
חיפשת: הגביע הקדוש סליחה. אין לנו במלאי.
...במקום מה שהיית מצפה, כלומר...
חיפשת: קדוש גביע סליחה. אין לנו במלאי.
...ואז תדע מיד שהשרת בקצה השני היה רשלני עם תווים שנקראים "מיוחדים" כגון < (פחות מסימן) ו > (גדול מסימן), המשמשות לציון פקודות HTML, לא רק נתוני HTML.
רצף ה-HTML <br> לא פירושו המילולי "הצג את הטקסט פחות מסימן אות ב אות ר גדולה מסימן", אבל הוא במקום זאת תג HTML, או פקודה, שפירושו "הוסף מעבר שורה בנקודה זו".
שרת שרוצה לשלוח לדפדפן שלך סימן פחות מלהדפיס על המסך צריך להשתמש ברצף המיוחד < במקום זאת. (סימנים גדולים יותר, כפי שאתה יכול לדמיין, מקודדים כ >.)
כמובן, זה אומר שהתו אמפרסנד (&) יש גם משמעות מיוחדת, ולכן יש לקודד את האמפרסנדים שיש להדפיס &, יחד עם מרכאות כפולות (") ומרכאות בודדות או סימני אפוסתרפיה (').
בחיים האמיתיים, הבעיה בתחבולת פלט הניתנת לתסריט חוצה אתרים אינה "לרוב בלתי מזיקות" פקודות HTML כגון <br>, אשר משבש את פריסת העמוד, אך תגי HTML מסוכן כגון <script>, המאפשרים לך להטמיע קוד JavaScript ממש שם, ישירות בדף האינטרנט עצמו.
ברגע שזיהית שאתר לא מטפל בחיפוש <br> נכון, הניסיון הבא שלך עשוי להיות לחפש משהו כמו Holy<script>alert('Ooops')</script>Grail במקום.
אם מונח החיפוש הזה מוחזר בדיוק כפי ששלחת אותו מלכתחילה, ההשפעה תהיה הפעלת פונקציית JavaScript alert() וכדי להקפיץ הודעה בדפדפן שלך האומרת Ooops.
כפי שאתה יכול לדמיין, נוכלים שמגלים כיצד להרעיל אתרים במשפט alert() חלונות קופצים עוברים במהירות להשתמש בחור XSS החדש שלהם כדי לבצע פעולות הרבה יותר ערמומיות.
אלה עשויים לכלול אחזור או שינוי של נתונים הרלוונטיים לחשבון שלך, שליחת הודעות או אישור פעולות בשמך, ואולי אחיזה של עוגיות אימות שיאפשרו לפושעים עצמם להיכנס ישירות לחשבון שלך מאוחר יותר.
אגב, התיקון בן השורה האחת שאתה מתבקש ליישם בספריית המוצרים של זימברה כרוך בשינוי פריט בטופס אינטרנט מובנה מתוך זה...
...לפורמט בטוח יותר, כך שה value השדה (שיישלח לדפדפן שלך כטקסט אך לעולם לא יוצג, כך שאפילו לא תדע שהוא נמצא שם בזמן הגישה לאתר) בנוי באופן הבא:
קו מראה חדש זה אומר לשרת (שכתוב ב-Java) להחיל את פונקציית Java המודעת לאבטחה escapeXml() לערך של stשדה ראשון.
כפי שבטח ניחשתם, escapeXml() מבטיח שכל שארית <, >, &, " ו ' תווים במחרוזת טקסט נכתבים מחדש בפורמטים הנכונים ועמידים ל-XSS, באמצעות <, >, &, " ו ' במקום.
בטיחות קודמת לכול!
מה לעשות?
עקוב הוראות לתיקון יד באתר של זימברה.
אנו מניחים שחברות שמנהלות מופעי Zimbra משלהן (או משלמות למישהו אחר שיפעיל אותן בשמן) לא ימצאו את התיקון מורכב מבחינה טכנית לביצוע, וייצרו במהירות סקריפט או תוכנית מותאמת אישית שיעשו זאת עבורן.
רק אל תשכח שאתה צריך לחזור על תהליך התיקון, כפי שמזכירה לך זימברה, בכל צמתי תיבת הדואר שלך.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
