Rhybudd Diogelwch SlickStack

Mae'r dudalen hon yn crynhoi pryderon diogelwch gyda SlickStack a pham y gall ei ddyluniad diofyn ddatgelu gweinyddion i weithredu cod o bell ac i ymosodiadau man-in-the-middle. Mae hefyd yn darparu camau lliniaru a dewisiadau mwy diogel.

Crynodeb

  • Lawrlwythiadau o bell aml wedi'u hamserlennu fel root trwy cron
  • Caiff dilysu SSL ei hepgor gan ddefnyddio --no-check-certificate
  • Dim swmau gwirio/llofnodion ar sgriptiau a lwythwyd i lawr
  • Perchnogaeth root a chaniatâd wedi'u cymhwyso i sgriptiau a gyflwynwyd

Tystiolaeth: Cron a Chaniatâdau

Lawrlwythiadau cron (bob 3 awr a 47 munud)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Perchnogaeth root a chaniatâd llym (wedi'u cymhwyso'n aml)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Mae'r patrwm hwn yn galluogi gweithredu cod anghyfyngedig o barth anghysbell ac yn cynyddu'r risg MITM trwy hepgor dilysu tystysgrifau.

Gweler hefyd y commit lle trosglwyddwyd URL-y cron o CDN GitHub i slick.fyi: diff ymrwymiad.

Canllawiau Lleddfu

  1. Analluogawch swyddi cron SlickStack a thynnwch y sgriptiau a lawrlwythwyd o gyfeiriaduron cron.
  2. Archwiliad am gyfeiriadau gweddilliol at slick.fyi a deniadau sgript o bell; disodli gyda chynnyrch wedi'u fersiynu a chyfanswm gwirio neu eu dileu'n gyfan.
  3. Newidiwch gredensialau a allweddi os oedd SlickStack yn rhedeg gyda breintiau root ar eich systemau.
  4. Ailadeiladu'r gweinyddion yr effeithiwyd arnynt pan fo'n bosibl er mwyn sicrhau cyflwr glân.

Dewisiadau Diogelach

Ystyriwch WordOps neu offer eraill sy'n osgoi gweithrediad root o bell ac sy'n darparu rhyddhadau wedi'u fersiynu y gellir eu hadolygu â chyfansymiau gwirio a llofnodion.

Cyfeiriadau