ผลิตภัณฑ์การทำงานร่วมกันยอดนิยม Zimbra มี เตือนลูกค้า ให้ใช้ซอฟต์แวร์แพตช์อย่างเร่งด่วนเพื่อปิดช่องโหว่ด้านความปลอดภัยตามที่กล่าวไว้ “อาจส่งผลกระทบต่อการรักษาความลับและความสมบูรณ์ของข้อมูลของคุณ”
ช่องโหว่นี้เรียกว่าบั๊ก XSS ซึ่งย่อมาจาก การเขียนสคริปต์ข้ามไซต์โดยที่การดำเนินการที่ดูไร้เดียงสาผ่านไซต์ X เช่น การคลิกผ่านไปยังไซต์ Y ทำให้ผู้ดำเนินการไซต์ X มีโอกาสลับๆ ล่อๆ ในการฝังโค้ด JavaScript ปลอมลงในหน้าเว็บที่เบราว์เซอร์ของคุณได้รับกลับมาจาก Y
ซึ่งหมายความว่า X อาจลงเอยด้วยการเข้าถึงบัญชีของคุณบนไซต์ Y โดยการอ่านออกและอาจแก้ไขข้อมูลที่มิฉะนั้นอาจเป็นส่วนตัวสำหรับ Y เช่น รายละเอียดบัญชีของคุณ คุกกี้สำหรับเข้าสู่ระบบ โทเค็นการตรวจสอบสิทธิ์ ประวัติการทำธุรกรรม และอื่น ๆ
ตัวย่อ XSS เป็นชื่อที่สื่อความหมายในตัวมันเอง เนื่องจากการโกงนั้นเกี่ยวข้องกับการผลักดันสคริปต์ที่ไม่น่าเชื่อถือจากไซต์หนึ่งไปยังเนื้อหาที่น่าเชื่อถือของอีกไซต์หนึ่ง...
…ทั้งหมดโดยไม่จำเป็นต้องเจาะเข้าไปในไซต์อื่นล่วงหน้าเพื่อแฮ็กไฟล์ HTML หรือโค้ด JavaScript โดยตรง
แก้ไขแล้วแต่ไม่ได้เผยแพร่
แม้ว่าตอนนี้บั๊กได้รับการแก้ไขในโค้ดของ Zimbra แล้ว และบริษัทก็พูดเช่นนั้น “มันใช้การแก้ไขนี้กับรุ่นเดือนกรกฎาคม”ยังไม่ได้เผยแพร่เวอร์ชันนั้น
แต่แพตช์กลายเป็นเรื่องด่วนมากพอที่จะต้องใช้ทันที เพราะมันถูกพบใน การโจมตีทางไซเบอร์ในชีวิตจริง โดยนักวิจัยด้านความปลอดภัยของ Google
ที่ทำให้หวั่นๆ ใช้ประโยชน์จาก zero-dayซึ่งเป็นคำศัพท์เฉพาะที่ใช้สำหรับช่องโหว่ด้านความปลอดภัยที่ Bad Guys พบก่อนและเก็บเป็นความลับ
ดังนั้น Zimbra จึงเตือนให้ลูกค้าใช้การแก้ไขด้วยตนเอง ซึ่งต้องมีการแก้ไขบรรทัดเดียวในไฟล์ข้อมูลเดียวในไดเร็กทอรีการติดตั้งของผลิตภัณฑ์
Zimbra ไม่ได้ใช้การเตือนความจำแบบคล้องจองของ Naked Security มากนัก อย่ารอช้า/ทำเลยวันนี้แต่ช่างเทคนิคของ copmany พูดบางอย่างด้วยความเร่งด่วนในระดับเดียวกับพวกเขาเอง กระดานข่าวความปลอดภัยอย่างเป็นทางการ:
เริ่มปฏิบัติ. ใช้การแก้ไขด้วยตนเอง
เราเข้าใจดีว่าคุณอาจต้องการดำเนินการไม่ช้าก็เร็วเพื่อปกป้องข้อมูลของคุณ
เพื่อรักษาความปลอดภัยในระดับสูงสุด เราขอความร่วมมือจากคุณเพื่อใช้การแก้ไขด้วยตนเองกับโหนดกล่องจดหมายทั้งหมดของคุณ
XSS อธิบาย
พูดง่ายๆ ก็คือ การโจมตี XSS มักเกี่ยวข้องกับการหลอกเซิร์ฟเวอร์ให้สร้างหน้าเว็บ ที่รวมข้อมูลที่ส่งมาจากภายนอกได้อย่างน่าเชื่อถือโดยไม่ตรวจสอบว่าข้อมูลนั้นปลอดภัยที่จะส่งไปยังเบราว์เซอร์ของผู้ใช้โดยตรง
ในตอนแรกอาจฟังดูน่าสงสัย (หรือไม่น่าเป็นไปได้) โปรดจำไว้ว่าการทำซ้ำหรือสะท้อนข้อมูลที่ป้อนกลับเข้าไปในเบราว์เซอร์ของคุณเป็นเรื่องปกติอย่างยิ่ง ตัวอย่างเช่น เมื่อไซต์ต้องการยืนยันข้อมูลที่คุณเพิ่งป้อนหรือรายงานผลลัพธ์ของ ค้นหา.
ตัวอย่างเช่น หากคุณกำลังดูเว็บไซต์ช้อปปิ้ง และคุณต้องการดูว่าพวกเขามีจอกศักดิ์สิทธิ์ขายหรือไม่ คุณควรจะพิมพ์ Holy Grail
ลงในช่องค้นหา ซึ่งอาจจบลงด้วยการส่งไปยังไซต์ใน URL ดังนี้:
https://example.com/search/?product=Holy%20Grail
(URL ต้องไม่มีช่องว่าง ดังนั้นอักขระเว้นวรรคระหว่างคำจะถูกแปลงโดยเบราว์เซอร์ของคุณ %20
โดยที่ 20 คือรหัส ASCII สำหรับช่องว่างในเลขฐานสิบหก)
และคุณจะไม่แปลกใจที่เห็นคำเดิมๆ ซ้ำๆ ในหน้าที่กลับมา เช่น
คุณกำลังค้นหา: Holy Grail ขออภัย เราไม่มีในสต็อก
ลองนึกภาพว่าคุณพยายามค้นหาผลิตภัณฑ์ที่มีชื่อแปลกๆ ชื่อ a Holy<br>Grail
แทนเพียงเพื่อดูว่าเกิดอะไรขึ้น
ถ้าคุณกลับหน้าแบบนี้...
คุณกำลังค้นหา: Holy Grail ขออภัย เราไม่มีในสต็อก
…แทนที่จะคาดหวัง กล่าวคือ…
คุณกำลังค้นหา: ศักดิ์สิทธิ์ จอกขออภัย เราไม่มีในสต็อก
…จากนั้นคุณจะรู้ทันทีว่าเซิร์ฟเวอร์ที่อยู่อีกฝั่งหนึ่งกำลังประมาทกับอักขระที่เรียกว่า “พิเศษ” เช่น <
(เครื่องหมายน้อยกว่า) และ >
(เครื่องหมายมากกว่า) ซึ่งใช้เพื่อระบุคำสั่ง HTML ไม่ใช่เฉพาะข้อมูล HTML
ลำดับ HTML <br>
ไม่ได้หมายความว่า "แสดงข้อความ เครื่องหมายน้อยกว่า letter-b ตัวอักษร-r เครื่องหมายมากกว่า“ แต่แทนที่จะเป็นแท็กหรือคำสั่ง HTML นั่นหมายถึง “แทรกตัวแบ่งบรรทัด ณ จุดนี้”
เซิร์ฟเวอร์ที่ต้องการส่งเครื่องหมายน้อยกว่าไปยังเบราว์เซอร์ของคุณเพื่อพิมพ์บนหน้าจอจำเป็นต้องใช้ลำดับพิเศษ <
แทน. (สัญญาณมากกว่าที่คุณคิดได้จะถูกเข้ารหัสเป็น >
.)
แน่นอน นี่หมายความว่าอักขระเครื่องหมายและ (&
) มีความหมายพิเศษเช่นกัน ดังนั้นเครื่องหมายแอมเปอร์แซนด์ที่จะพิมพ์ออกมาจึงต้องเข้ารหัสเป็น &
พร้อมด้วยเครื่องหมายอัญประกาศคู่ ("
) และเครื่องหมายอัญประกาศเดี่ยวหรือเครื่องหมายอัญประกาศเดี่ยว ('
).
ในชีวิตจริง ปัญหาเกี่ยวกับกลอุบายเอาต์พุตข้ามไซต์ไม่ใช่คำสั่ง HTML ที่ “ไม่เป็นอันตรายส่วนใหญ่” เช่น <br>
ซึ่งรบกวนเค้าโครงหน้า แต่แท็ก HTML ที่เป็นอันตราย เช่น <script>
ซึ่งทำให้คุณสามารถฝังโค้ด JavaScript ลงในหน้าเว็บได้โดยตรง
เมื่อคุณพบว่าไซต์ไม่รองรับการค้นหา <br>
ความพยายามครั้งต่อไปของคุณอาจเป็นการค้นหาสิ่งที่ต้องการ Holy<script>alert('Ooops')</script>Grail
แทน.
หากข้อความค้นหานั้นถูกส่งกลับอย่างถูกต้องตามที่คุณส่งไปตั้งแต่แรก ผลกระทบคือการเรียกใช้ฟังก์ชัน JavaScript alert()
และแสดงข้อความในเบราว์เซอร์ของคุณว่า Ooops
.
อย่างที่คุณจินตนาการได้ พวกมิจฉาชีพที่ค้นพบวิธีวางยาพิษเว็บไซต์ด้วยการทดลองใช้ alert()
ป๊อปอัปเปลี่ยนไปใช้รู XSS ที่พบใหม่อย่างรวดเร็วเพื่อดำเนินการที่คดโกงมากขึ้น
สิ่งเหล่านี้อาจรวมถึงการเรียกค้นหรือแก้ไขข้อมูลที่เกี่ยวข้องกับบัญชีของคุณ การส่งข้อความหรือการอนุญาตการกระทำในชื่อของคุณ และอาจคว้าคุกกี้การตรวจสอบสิทธิ์ซึ่งจะทำให้อาชญากรกลับเข้าสู่บัญชีของคุณโดยตรงในภายหลัง
อนึ่ง แพตช์บรรทัดเดียวที่คุณได้รับการกระตุ้นให้นำไปใช้ในไดเร็กทอรีผลิตภัณฑ์ Zimbra เกี่ยวข้องกับการเปลี่ยนรายการในรูปแบบเว็บในตัวจากสิ่งนี้...
…เป็นรูปแบบที่ปลอดภัยยิ่งขึ้น เพื่อให้ value
ฟิลด์ (ซึ่งจะถูกส่งไปยังเบราว์เซอร์ของคุณเป็นข้อความ แต่จะไม่แสดง ดังนั้นคุณจะไม่รู้ด้วยซ้ำว่ามีอยู่ในขณะที่เข้าถึงไซต์) ถูกสร้างขึ้นดังนี้:
บรรทัดรูปลักษณ์ใหม่นี้บอกเซิร์ฟเวอร์ (ซึ่งเขียนด้วย Java) ให้ใช้ฟังก์ชัน Java ที่คำนึงถึงความปลอดภัย escapeXml()
ถึงมูลค่าของ st
สนามก่อน.
อย่างที่คุณคงเดาได้ escapeXml()
ทำให้มั่นใจได้ว่ามีของเหลือ <
, >
, &
, "
และ '
อักขระในสตริงข้อความจะถูกเขียนใหม่ในรูปแบบที่ถูกต้องและทนทานต่อ XSS โดยใช้ <
, >
, &
, "
และ '
แทน.
ปลอดภัยไว้ก่อน!
จะทำอย่างไร?
ตาม คำแนะนำในการปะด้วยมือ บนเว็บไซต์ของ Zimbra
เราสันนิษฐานว่าบริษัทที่รันอินสแตนซ์ Zimbra ของตนเอง (หรือจ่ายเงินให้คนอื่นเพื่อรันอินสแตนซ์แทน) จะไม่พบแพตช์ที่ซับซ้อนทางเทคนิคในการดำเนินการ และจะสร้างสคริปต์หรือโปรแกรมที่กำหนดเองอย่างรวดเร็วเพื่อดำเนินการแทน
อย่าลืมว่าคุณต้อง ทำซ้ำขั้นตอนการแพตช์ตามที่ Zimbra เตือนคุณ บนโหนดกล่องจดหมายทั้งหมดของคุณ.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- แน่นอน
- เข้า
- การเข้าถึง
- ลงชื่อเข้าใช้
- ข้าม
- การกระทำ
- การปฏิบัติ
- ความก้าวหน้า
- ทั้งหมด
- อนุญาต
- ตาม
- amp
- an
- และ
- อื่น
- ใด
- ประยุกต์
- ใช้
- เป็น
- AS
- At
- การโจมตี
- การยืนยันตัวตน
- ผู้เขียน
- รถยนต์
- ไป
- กลับ
- background-image
- ไม่ดี
- BE
- เพราะ
- รับ
- ตัวแทน
- กำลัง
- ระหว่าง
- ชายแดน
- ด้านล่าง
- กล่อง
- ทำลาย
- เบราว์เซอร์
- Browsing
- Bug
- built-in
- แต่
- by
- ที่เรียกว่า
- มา
- CAN
- ศูนย์
- โอกาส
- เปลี่ยนแปลง
- ตัวอักษร
- อักขระ
- การตรวจสอบ
- ปิดหน้านี้
- รหัส
- การทำงานร่วมกัน
- สี
- บริษัท
- บริษัท
- ซับซ้อน
- ความลับ
- ยืนยัน
- เนื้อหา
- แปลง
- คุ้กกี้
- ความร่วมมือ
- แก้ไข
- หลักสูตร
- หน้าปก
- สร้าง
- อาชญากร
- Crooks
- อยากรู้อยากเห็น
- ประเพณี
- ลูกค้า
- Dangerous
- ข้อมูล
- รายละเอียด
- โดยตรง
- ค้นพบ
- แสดง
- do
- ไม่
- สวม
- Dont
- ผล
- อื่น
- ฝัง
- ปลาย
- พอ
- เพื่อให้แน่ใจ
- เข้า
- เป็นหลัก
- แม้
- ตัวอย่าง
- คาดหวัง
- สนาม
- เนื้อไม่มีมัน
- ไฟล์
- หา
- ชื่อจริง
- แก้ไขปัญหา
- ดังต่อไปนี้
- สำหรับ
- ฟอร์ม
- รูป
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- การสร้าง
- จะช่วยให้
- จอก
- เดา
- สับ
- มี
- มือ
- จัดการ
- ที่เกิดขึ้น
- มี
- ความสูง
- ซ่อนเร้น
- ที่สูงที่สุด
- ประวัติ
- ถือ
- รู
- หลุม
- โฉบ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTML
- HTTPS
- if
- ภาพ
- ทันที
- ส่งผลกระทบ
- in
- ประกอบด้วย
- รวมถึง
- อินพุต
- การติดตั้ง
- ตัวอย่าง
- แทน
- ความสมบูรณ์
- เข้าไป
- รวมถึง
- ที่เกี่ยวข้องกับการ
- IT
- ITS
- ตัวเอง
- ศัพท์แสง
- ชวา
- JavaScript
- กรกฎาคม
- เพียงแค่
- เก็บ
- ทราบ
- ที่รู้จักกัน
- ต่อมา
- แบบ
- ซ้าย
- ให้
- ชั้น
- ชีวิต
- กดไลก์
- Line
- เข้าสู่ระบบ
- เข้าสู่ระบบ
- เก็บรักษา
- ทำให้
- ด้วยมือ
- ขอบ
- ความกว้างสูงสุด
- อาจ..
- ความหมาย
- วิธี
- แค่
- ข่าวสาร
- ข้อความ
- อาจ
- ข้อมูลเพิ่มเติม
- มาก
- ชื่อ
- จำเป็นต้อง
- จำเป็น
- ต้อง
- ความต้องการ
- ไม่เคย
- ถัดไป
- โหนด
- ปกติ
- ตอนนี้
- of
- on
- ONE
- การดำเนินการ
- การดำเนินการ
- ผู้ประกอบการ
- or
- อื่นๆ
- มิฉะนั้น
- ออก
- เอาท์พุต
- เกิน
- ของตนเอง
- หน้า
- หน้า
- ปะ
- ปะ
- พอล
- ชำระ
- ดำเนินการ
- ที่มีประสิทธิภาพ
- บางที
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยาพิษ
- ป๊อป
- ตำแหน่ง
- โพสต์
- ที่อาจเกิดขึ้น
- อย่างแม่นยำ
- พิมพ์
- ส่วนตัว
- อาจ
- ปัญหา
- ผลิตภัณฑ์
- โครงการ
- อย่างถูกต้อง
- ป้องกัน
- การตีพิมพ์
- ใจเร่งเร้า
- ใส่
- อย่างรวดเร็ว
- ค่อนข้าง
- การอ่าน
- จริง
- ชีวิตจริง
- ที่ได้รับ
- ญาติ
- ตรงประเด็น
- จำ
- ซ้ำแล้วซ้ำอีก
- รายงาน
- ขอ
- ต้อง
- นักวิจัย
- ผลสอบ
- ขวา
- วิ่ง
- ปลอดภัย
- ปลอดภัยมากขึ้น
- กล่าวว่า
- การขาย
- เดียวกัน
- คำพูด
- พูดว่า
- จอภาพ
- สคริปต์
- ค้นหา
- ค้นหา
- ความปลอดภัย
- เห็น
- ส่ง
- การส่ง
- ส่ง
- ลำดับ
- ช้อปปิ้ง
- สั้น
- แสดง
- ลงชื่อ
- สัญญาณ
- เดียว
- เว็บไซต์
- ส่อเสียด
- So
- ซอฟต์แวร์
- ของแข็ง
- บางคน
- บางสิ่งบางอย่าง
- เสียง
- ช่องว่าง
- ช่องว่าง
- พิเศษ
- st
- สต็อก
- เชือก
- ส่ง
- อย่างเช่น
- ชุด
- ประหลาดใจ
- SVG
- สวิตซ์
- TAG
- เอา
- ในทางเทคนิค
- บอก
- ระยะ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ที่นั่น
- ดังนั้น
- พวกเขา
- นี้
- ตลอด
- ไปยัง
- ราชสกุล
- เกินไป
- ด้านบน
- การทำธุกรรม
- การเปลี่ยนแปลง
- โปร่งใส
- การทดลอง
- พยายาม
- กลับ
- ผลัดกัน
- ชนิด
- เข้าใจ
- ไม่แน่
- การเร่งรีบ
- ด่วน
- URL
- ใช้
- มือสอง
- การใช้
- มักจะ
- ความคุ้มค่า
- รุ่น
- มาก
- ผ่านทาง
- ความอ่อนแอ
- ต้องการ
- อยาก
- ต้องการ
- คำเตือน
- คือ
- we
- เว็บ
- Website
- เว็บไซต์
- คือ
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- WHO
- จะ
- กับ
- ไม่มี
- คำ
- จะ
- เขียน
- X
- XSS
- ยัง
- เธอ
- ของคุณ
- ลมทะเล