Уведомление об уязвимости безопасности

Недостаток безопасности в daygate (AKA the Gibberfish Management Portal) был обнаружен, что может позволить злоумышленнику, не прошедшему проверку подлинности, подслушивать трафик веб-сокета, что может привести к утечке конфиденциальной информации, такой как парольные фразы. Этот недостаток не сделал доступными зашифрованные данные пользователя или файлы.

Эта проблема была исправлена ​​в последнем коммите в ветке master (Метки / 20181220.0 или позже). Мы быстро убедились, что все размещенные клиенты Gibberfish были исправлены, прежде чем сделать это публичное объявление, но Пользователи 3rd могут оставаться уязвимыми если они не включили автоматическое обновление через веб-интерфейс.

Поскольку портал управления предназначен для работы исключительно как скрытый сервис на сеть Torзлоумышленник должен сначала узнать адрес .onion службы, что может снизить вероятность использования этой уязвимости.

Хотя у нас нет никаких доказательств того, что какая-либо пользовательская информация была скомпрометирована этим недостатком, мы настоятельно рекомендуем как можно скорее обновить код до последней стабильной версии. через наш репозиторий git. Мы также рекомендуем, чтобы администраторы сервера немедленно измените их пароль шифрования после обновления, для которого мы включили инструкции ниже.

Клиенты с серверами, размещенными на Gibberfish, Inc., обновлять не нужно, но мы призываем все пользователи могут изменить свою парольную фразу шифрования.

Для немедленного обновления включите обновления на вкладке «Обновления», затем откройте окно терминала и вручную вызовите скрипт обновления из командной строки:

$ sudo ~ daygate / daygate / scripts / update.sh

- ИЛИ ЖЕ -

Чтобы выполнить однократное обновление без включения автоматического обновления, выполните следующие команды:

$ cd ~ daygate / daygate
$ git pull
$ sudo scripts / install.sh

PDF-документ, содержащий пошаговые инструкции по изменению парольной фразы шифрования сервера, приведен ниже.

Пожалуйста, направьте все оставшиеся вопросы на gro.hsifrebbigнуль@ytiruces.


Дополнительные особенности:

Daygate состоит в основном из двух частей: веб-приложения Django и внутреннего сервера, который взаимодействует с ним через веб-сокеты. Это позволяет пользователю вызывать сценарии автоматизации в системе через веб-интерфейс и просматривать результаты в режиме реального времени. Конечная точка websockets, реализованная с помощью библиотеки «channel», существует вне структур отображения и аутентификации основного URL-адреса Django. В начале разработки конечная точка не была должным образом защищена. Эта часть кодовой базы осталась практически нетронутой, и аутентификация никогда не применялась как недосмотр.

Хотя сообщения, передаваемые через веб-сокеты, недолговечны и эфемерны, злоумышленник может установить соединение через клиент с поддержкой Tor и перехватить сообщения, содержащие
учетные данные, предназначенные для легитимного клиента, включая парольную фразу, используемую для шифрования и дешифрования постоянных томов хранения, а также пароль администратора Nextcloud по умолчанию, сгенерированный во время первоначального развертывания (последний используется только в том случае, если администратор проигнорировал рекомендации по немедленному изменению этой парольной фразы).

Исправление состоит из добавленного промежуточного программного обеспечения, которое проверяет наличие аутентифицированного сеанса пользователя Django, прежде чем принимать удаленные подключения. Соединения, происходящие из только локальный может быть проверено с помощью случайно сгенерированного токена, который передается в качестве параметра запроса и поворачивается при каждом повторном соединении.