Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 13

Тема: Уязвимость пользователя root через аккаунт почты

  1. #1
    Member
    Регистрация
    06.11.2016
    Адрес
    Ulyanovsk
    Сообщений
    52

    По умолчанию Уязвимость пользователя root через аккаунт почты

    День добрый.

    Вот данные панели управления
    Панель управления ISPmanager Business
    Операционная система CentOS 7.2.1511.el7.centos.2.10 (x86_64)
    Репозиторий ispsystem-5.135
    Версия COREmanager 5.137.1-2018.01.24_16:33
    Версия панели 5.137.0-2018.01.24_22:26
    Последняя доступная версия установлена последняя версия

    Захожу как обычный пользователь Почта -> Почтовые ящики.
    на горизонтальной панели выбираю RoundCube, вхожу без проблем
    на горизонтальной панели выбираю Войти, изменилась страница https://hosting1.h-leader.ru/ispmgr?...sessionexpired
    pochta2.jpg
    (тут есть рисунок но он маленький)

    на горизонтальной панели выбираю Изменить
    pochta1.jpg
    можно подсмотреть пароль от пользователя root тип доступа ssh

    Все действия выполнялись от уровня пользователя.

  2. #2
    Senior Member Аватар для Lazek
    Регистрация
    04.06.2008
    Сообщений
    851

    По умолчанию

    Здравствуйте,

    Некоторое время назад, было выпущено обновление:
    https://www.ispsystem.ru/software/ispmanager/changelog

    5.138.1 выпущен 02.02.2018

    Исправления ошибок:

    • Исправлена ошибка безопасности.



    Попробуйте обновить панель управления и произвести действия вновь, возможно, была исправлена именно данная проблема.

  3. #3
    Senior Member Аватар для VA
    Регистрация
    27.01.2007
    Сообщений
    1,341

    По умолчанию

    Тут больше похоже на то, что браузер вставил сохраненные логин/пароль...

  4. #4
    Member
    Регистрация
    06.11.2016
    Адрес
    Ulyanovsk
    Сообщений
    52

    По умолчанию

    Цитата Сообщение от VA Посмотреть сообщение
    Тут больше похоже на то, что браузер вставил сохраненные логин/пароль...
    Спасибо, ошибка была в кеше браузера.

    Другая проблема
    Захожу как обычный пользователь Почта -> Почтовые ящики.
    На горизонтальной панели выбираю Войти, изменяется страница https://hosting1.h-leader.ru/ispmgr?...sessionexpired

    В выводе на странице получаю текст.
    {"development" : true,"features" : "e43a093452d175fa28f101f3cac3186a0","notify" : "0","testMode" : false,"title" : "","id" : "error","type" : "","theme" : "/manimg/orion/","selfIcon" : "","tStyle" : true,"urlparam" : "sfrom=sessionexpired&func=error","urlObj" : { "" : "", "sfrom" : "sessionexpired", "func" : "error"},"message" : [],"tsplid" : "%26","msg" : {"" : "","dismiss" : "","moreinfo" : ""},"func" : "error","hintPin": "","hintUnpin": "","hintPrint" : "","hintPdf" : "","hintCopy" : "","msg_loading": "","btng" : [],"btnview" : "","error" : "true","ertype" : "missed","code" : "","ermsg" : " со значением \'opencart.clients@opencart.ru\' отсутствует","ervalue" : ""}

  5. #5
    Senior Member Аватар для VA
    Регистрация
    27.01.2007
    Сообщений
    1,341

    По умолчанию

    В 5.137 действительно не получается зайти под почтовым ящиком. В 5.138.1 у меня такой проблемы нет, хотя в changelog вроде нигде не упоминалось.

  6. #6
    Support team Аватар для Dasha
    Регистрация
    03.11.2011
    Сообщений
    4,414

    По умолчанию

    В 5.137 действительно не получается зайти под почтовым ящиком. В 5.138.1 у меня такой проблемы нет, хотя в changelog вроде нигде не упоминалось.
    В ченжлог не попало, действительно проблема была, теперь исправлена.

  7. #7
    Member
    Регистрация
    06.11.2016
    Адрес
    Ulyanovsk
    Сообщений
    52

    По умолчанию

    Цитата Сообщение от Dasha Посмотреть сообщение
    В ченжлог не попало, действительно проблема была, теперь исправлена.
    Спасибо.
    Последний раз редактировалось bleader; 08.02.2018 в 20:01.

  8. #8
    Member
    Регистрация
    06.11.2016
    Адрес
    Ulyanovsk
    Сообщений
    52

    По умолчанию

    Цитата Сообщение от VA Посмотреть сообщение
    В 5.137 действительно не получается зайти под почтовым ящиком. В 5.138.1 у меня такой проблемы нет, хотя в changelog вроде нигде не упоминалось.
    Подскажите как можно обновить. ISPmanager панель с бета ISPmanager Business 5.137.0 до 5.138.1 с промежуточным обновлением 5.138.0.
    Справка -> Список изменений(выбрать версию) кликнуть на обновить, должно ли происходить обновление? панели той версии которой я выбрал(5.138.0)

    Функция Справка -> О программе -> Обновить продукт тоже самое что и команда /usr/local/mgr5/sbin/pkgupgrade.sh coremanager
    которая обновляет до последней работоспособной не бета версии?

    Ткните пожалуйста меня на мануал по обновлению бета версий и по вопросам выше.

  9. #9
    Senior Member
    Регистрация
    06.03.2016
    Адрес
    UA
    Сообщений
    118

    По умолчанию

    Попробуйте сначала ткнуть "обновить лицензию", и через время посмотреть последнюю доступную версию

  10. #10
    Member
    Регистрация
    06.11.2016
    Адрес
    Ulyanovsk
    Сообщений
    52

    По умолчанию

    Цитата Сообщение от NFL Посмотреть сообщение
    Попробуйте сначала ткнуть "обновить лицензию", и через время посмотреть последнюю доступную версию
    Делал
    Справка -> О программе -> Обновить лицензию
    чистил кеш rm -rf /usr/local/mgr5/var/.xmlcache/ && killall -9 -r core

    После пробовал обновить продукт
    Справка -> О программе -> Обновить продукт

    И ничего.

    Подскажите есть мануал, по теме как обновлять панель управления ISPmanager? и по возможности другие панели управления.

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •