Hinweis zur Sicherheitslücke

Ein Sicherheitsfehler in Daygate (AKA das Gibberfish Management Portal) wurde entdeckt, wodurch ein nicht authentifizierter Angreifer den Websocket-Verkehr abhören und möglicherweise vertrauliche Informationen wie Passphrasen verlieren könnte. Durch diesen Fehler wurden keine verschlüsselten Benutzerdaten oder Dateien zugänglich gemacht.

Dieses Problem wurde beim letzten Commit für den Master-Zweig behoben (tags / 20181220.0 oder später). Wir haben schnell sichergestellt, dass alle von Gibberfish gehosteten Kunden vor dieser öffentlichen Ankündigung gepatcht wurden Benutzer von 3rd-Parteien sind möglicherweise immer noch anfällig wenn sie keine automatischen Updates über die Weboberfläche aktiviert haben.

Da das Management Portal ausschließlich als versteckter Dienst auf der Website ausgeführt wird Tor-NetzwerkEin Angreifer muss zunächst die .onion-Adresse des Dienstes kennenlernen, was die Wahrscheinlichkeit einer Ausnutzung dieser Sicherheitsanfälligkeit verringern kann.

Es liegen zwar keine Beweise dafür vor, dass Benutzerinformationen durch diesen Fehler beeinträchtigt wurden. Wir empfehlen dringendst, so schnell wie möglich auf den neuesten stabilen Code zu aktualisieren über unser Git Repository. Wir empfehlen weiterhin Server-Administratoren Ändern Sie sofort die Passphrase für die Verschlüsselung Nach dem Update haben wir die folgenden Anweisungen hinzugefügt.

Clients mit Servern, die von Gibberfish, Inc. gehostet werden, müssen nicht aktualisiert werden, aber wir drängen alle Benutzer, um ihre Passphrase für die Verschlüsselung zu ändern.

Aktivieren Sie Updates sofort über die Registerkarte "Updates", öffnen Sie ein Terminalfenster und rufen Sie das Aktualisierungsskript manuell über die Befehlszeile auf:

$ sudo ~ daygate / daygate / scripts / update.sh

- ODER -

Führen Sie die folgenden Befehle aus, um ein einmaliges Update durchzuführen, ohne automatische Updates zu aktivieren:

$ cd ~ daygate / daygate
$ git ziehen
$ sudo-Skripts / install.sh

Ein PDF-Dokument mit Schritt-für-Schritt-Anweisungen zum Ändern der Verschlüsselungspassphrase des Servers ist unten verlinkt.

Bitte richten Sie alle verbleibenden Fragen an groß.hsifrebbignull@ytiruces.


Weitere Details

Daygate besteht hauptsächlich aus zwei Teilen: einer Django-Webanwendung und einem Backend-Dämon, der über Websockets mit ihm kommuniziert. Auf diese Weise kann der Benutzer Automatisierungsskripts über eine Webschnittstelle im System aufrufen und die Echtzeitausgabe anzeigen. Der mit der "channels" -Bibliothek implementierte Websockets-Endpunkt befindet sich außerhalb von Djangos Haupt-URL-Mapping- und Authentifizierungsstrukturen. Zu Beginn der Entwicklung war der Endpunkt nicht ordnungsgemäß gesichert. Dieser Teil der Codebasis blieb weitgehend unangetastet, und die Authentifizierung wurde nie als Versehen implementiert.

Während die über die Websockets gesendeten Nachrichten nur von kurzer Dauer und kurzlebig sind, könnte ein Angreifer über einen Tor-fähigen Client eine Verbindung herstellen und die darin enthaltenen Nachrichten abfangen
Berechtigungsnachweise für einen legitimen Client, einschließlich der zum Verschlüsseln und Entschlüsseln dauerhafter Speicher-Volumes verwendeten Passphrase sowie des bei der ersten Bereitstellung generierten Standard-Administratorkennworts von Nextcloud (letzteres nur ausnutzbar, wenn der Administrator die Empfehlungen zur sofortigen Änderung dieser Passphrase ignoriert).

Die Standardisierung besteht aus einer hinzugefügten Middleware, die das Vorhandensein einer authentifizierten Django-Benutzersitzung prüft, bevor Remoteverbindungen akzeptiert werden. Verbindungen, die von stammen nur localhost kann über ein zufällig generiertes Token validiert werden, das als Abfrageparameter übergeben und bei jeder erneuten Verbindung gedreht wird.