Fragen? Antworten! Siehe auch: Alternativlos
- At some time in April 2018, the Webmin development build server was exploited and a vulnerability added to the password_change.cgi script. Because the timestamp on the file was set back, it did not show up in any Git diffs. This was included in the Webmin 1.890 release.
- The vulnerable file was reverted to the checked-in version from Github, but sometime in July 2018 the file was modified again by the attacker. However, this time the exploit was added to code that is only executed if changing of expired passwords is enabled. This was included in the Webmin 1.900 release.
- On September 10th 2018, the vulnerable build server was decomissioned and replaced with a newly installed server running CentOS 7. However, the build directory containing the modified file was copied across from backups made on the original server.
- On August 17th 2019, we were informed that a 0-day exploit that made use of the vulnerability had been released. In response, the exploit code was removed and Webmin version 1.930 created and released to all users.
Sie wurden gehackt, wissen nicht von wem oder wie, aber machen einfach weiter. Und das ist alles nur möglich, weil ihr Master-Checkout, aus dem die Builds generiert werden, am Internet hängt. Der macht aber nicht jedesmal einen frischen Checkout sondern in dem wird offenbar live herumgepfriemelt. Nicht mal nach einem Hack machen sie einen frischen Checkout.Und ihre Lösung jetzt ist: Wir verlassen uns halt voll auf github. Ja, klar, weil github-Accounts ja auch noch nie gehackt wurden.
So viel Hilflosigkeit auf einem Haufen, da kannst du echt auch gleich zu Oracle oder Cisco greifen.