منتج التعاون الشهير Zimbra لديه حذر العملاء لتطبيق تصحيح البرنامج بشكل عاجل لإغلاق ثغرة أمنية تقول "من المحتمل أن يؤثر على سرية وسلامة بياناتك."
الثغرة الأمنية هي ما يُعرف باسم خطأ XSS ، باختصار البرمجة عبر المواقع، حيث إن إجراء عملية تبدو بريئة عبر الموقع X ، مثل النقر للوصول إلى الموقع Y ، يمنح مشغل الموقع X فرصة خادعة لزرع كود JavaScript خادع في صفحات الويب التي يتلقاها متصفحك من Y.
هذا ، بدوره ، يعني أن X قد ينتهي به الأمر إلى الوصول إلى حسابك على الموقع Y ، من خلال قراءة وربما تعديل البيانات التي قد تكون خاصة بـ Y ، مثل تفاصيل حسابك وملفات تعريف الارتباط لتسجيل الدخول ورموز المصادقة وسجل المعاملات ، وما إلى ذلك وهلم جرا.
يعد الاختصار XSS اسمًا وصفيًا ذاتيًا ، لأن roguery يتضمن بشكل أساسي دفع البرامج النصية غير الموثوق بها عبر موقع واحد إلى المحتوى الموثوق به لموقع آخر ...
... كل ذلك دون الحاجة إلى اقتحام الموقع الآخر مسبقًا لاختراق ملفات HTML أو كود JavaScript مباشرة.
مصححة لكن لم تنشر
على الرغم من أن الخطأ قد تم تصحيحه الآن في كود Zimbra ، والشركة تقول ذلك "لقد طبقت هذا الإصلاح على إصدار يوليو"، لم ينشر هذا الإصدار بعد.
لكن تبين أن التصحيح ضروري بدرجة كافية ليتم الاحتياج إليه على الفور ، لأنه تم رصده في هجوم إلكتروني حقيقي بواسطة باحث أمني في Google.
هذا يجعلها مخيفة استغلال يوم صفر، المصطلح المصطلح المستخدم للثغرات الأمنية التي يجدها الأشرار أولاً ويحتفظون بها لأنفسهم.
لذلك حذرت Zimbra عملائها من تطبيق الإصلاح بأنفسهم يدويًا ، الأمر الذي يتطلب تحرير سطر واحد لملف بيانات واحد في دليل تثبيت المنتج.
لم تستخدم Zimbra تمامًا التذكير القافي الخاص بـ Naked Security لا تؤجل / افعلها اليوم، لكن التقنيين التابعين لشركات الأعمال قالوا شيئًا بنفس المستوى من الإلحاح بأنفسهم نشرة الأمن الرسمية:
أبدي فعل. تطبيق الإصلاح يدويًا.
نحن نتفهم أنك قد ترغب في اتخاذ إجراء عاجلاً وليس آجلاً لحماية بياناتك.
للحفاظ على أعلى مستوى من الأمان ، نطلب منك التفضل بتعاونك لتطبيق الإصلاح يدويًا على جميع عقد صندوق البريد الخاص بك.
وأوضح XSS
ببساطة ، تتضمن هجمات XSS عادةً خداع خادم لإنشاء صفحة ويب التي تتضمن بثقة البيانات المقدمة من الخارج، دون التحقق من أن البيانات آمنة لإرسالها مباشرة إلى متصفح المستخدم.
قد يبدو هذا غريبًا (أو غير محتمل) كما قد يبدو في البداية ، تذكر أن تكرار الإدخال أو عكسه في متصفحك أمر طبيعي تمامًا ، على سبيل المثال عندما يريد أحد المواقع تأكيد البيانات التي أدخلتها للتو أو الإبلاغ عن نتائج يبحث.
إذا كنت تتصفح موقعًا للتسوق ، على سبيل المثال ، وأردت معرفة ما إذا كان لديهم أي كؤوس مقدسة للبيع ، فمن المتوقع أن تكتب Holy Grail في مربع البحث ، والذي قد ينتهي به الأمر إلى إرساله إلى الموقع في عنوان URL مثل هذا:
https://example.com/search/?product=Holy%20Grail
(لا يمكن أن تحتوي عناوين URL على مسافات ، لذلك يتم تحويل حرف المسافة بين الكلمات بواسطة متصفحك إلى %20، حيث 20 هو رمز ASCII للمسافة بالنظام الست عشري.)
ولن تتفاجأ برؤية نفس الكلمات تتكرر في الصفحة التي عادت ، على سبيل المثال مثل هذا:
لقد بحثت عن: الكأس المقدسة آسف. ليس لدينا أي مخزون.
تخيل الآن أنك حاولت البحث عن منتج له اسم غريب يسمى a Holy<br>Grail بدلاً من ذلك ، فقط لمعرفة ما حدث.
إذا استعدت صفحة شيء من هذا القبيل ...
لقد بحثت عن: الكأس المقدسة آسف. ليس لدينا أي مخزون.
... بدلاً مما تتوقعه ، أي ...
لقد بحثت عن: Holy جريل آسف. ليس لدينا أي مخزون.
... ثم ستعرف على الفور أن الخادم الموجود على الطرف الآخر كان مهملاً بما يسمى بالأحرف "الخاصة" مثل < (أقل من علامة) و > (أكبر من علامة) ، والتي تستخدم لتحديد أوامر HTML ، وليس فقط بيانات HTML.
تسلسل HTML <br> لا تعني حرفيا "عرض النص أقل من علامة ، حرف ب ، حرف ص ، أكبر من علامة"، ولكن بدلاً من ذلك علامة HTML ، أو أمر ، وهذا يعني" إدراج فاصل أسطر في هذه المرحلة ".
يحتاج الخادم الذي يريد إرسال علامة أقل من إلى متصفحك للطباعة على الشاشة إلى استخدام التسلسل الخاص < بدلاً من. (يتم ترميز علامات أكبر من ، كما يمكنك imgaine ، بتنسيق >.)
بالطبع ، هذا يعني أن حرف العطف (&) لها معنى خاص أيضًا ، لذلك يجب ترميز علامة العطف المراد طباعتها كـ &، جنبًا إلى جنب مع علامات الاقتباس المزدوجة (") وعلامات الاقتباس المفردة أو الفاصلة العليا (').
في الحياة الواقعية ، لا تكمن مشكلة خداع المخرجات القابلة للبرمجة عبر المواقع في أوامر HTML "غير الضارة في الغالب" مثل <br>، مما يؤدي إلى تعطيل تخطيط الصفحة ، ولكن علامات HTML الخطيرة مثل <script>، والتي تسمح لك بتضمين كود JavaScript هناك مباشرة في صفحة الويب نفسها.
بمجرد أن تكتشف أن الموقع لا يتعامل مع البحث عنه <br> بشكل صحيح ، قد تكون محاولتك التالية هي البحث عن شيء مثل Holy<script>alert('Ooops')</script>Grail بدلا من ذلك.
إذا تم إرجاع مصطلح البحث هذا تمامًا كما أرسلته في المقام الأول ، فسيكون التأثير هو تشغيل وظيفة JavaScript alert() وظهور رسالة في متصفحك تقول Ooops.
كما يمكنك أن تتخيل ، المحتالون الذين يكتشفون كيفية تسميم مواقع الويب بالتجربة alert() تنتقل النوافذ المنبثقة بسرعة إلى استخدام فتحة XSS الجديدة لإجراء المزيد من العمليات المخادعة.
قد يشمل ذلك استرداد أو تعديل البيانات ذات الصلة بحسابك ، أو إرسال رسائل أو تفويض الإجراءات باسمك ، وربما الاستيلاء على ملفات تعريف الارتباط للمصادقة التي ستسمح للمجرمين أنفسهم بتسجيل الدخول مباشرة إلى حسابك لاحقًا.
بالمناسبة ، يتضمن التصحيح المكون من سطر واحد الذي تم حثك على تطبيقه في دليل منتج Zimbra تغيير عنصر في نموذج ويب مدمج من هذا ...
... إلى تنسيق أكثر أمانًا ، بحيث يكون ملف value يتم إنشاء الحقل (الذي سيتم إرساله إلى متصفحك كنص ولكنه لا يظهر أبدًا ، لذلك لن تعرف أنه موجود أثناء الوصول إلى الموقع) على النحو التالي:
يخبر سطر المظهر الجديد هذا الخادم (المكتوب بلغة Java) بتطبيق وظيفة Java الواعية بالأمان escapeXml() لقيمة stالمجال أولا.
كما ربما خمنت ، escapeXml() يضمن أن أي عاشق <, >, &, " و ' تتم إعادة كتابة الأحرف في سلسلة نصية بتنسيقاتها الصحيحة والمقاومة لـ XSS ، باستخدام <, >, &, " و ' بدلا من ذلك.
السلامة اولا!
ماذا ستفعلين.. إذًا؟
اتبع تعليمات الترقيع اليدوي على موقع Zimbra.
نحن نفترض أن الشركات التي تشغل مثيلات Zimbra الخاصة بها (أو تدفع لشخص آخر لتشغيلها نيابةً عنها) لن تجد التصحيح معقدًا تقنيًا لأدائه ، وسوف تنشئ سريعًا نصًا أو برنامجًا مخصصًا للقيام بذلك نيابة عنهم.
فقط لا تنس أنك بحاجة إلى ذلك كرر عملية الترقيع، كما تذكرك Zimbra ، على جميع عقد صندوق البريد الخاص بك.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
