Risque
- Atteinte à l'intégrité des données ;
- exécution de code arbitraire.
Systèmes affectés
Toutes les versions de Usermin antérieures à la version 1.090.
Résumé
Deux vulnérabilités dans Usermin permettent à un utilisateur mal intentionné de porter atteinte à l'intégrité du système ou d'exécuter du code arbitraire sur la plate-forme vulnérable.
Description
Usermin est un outil d'administration pour les plates-formes Unix basé sur une interface web.Une première vulnérabilité concerne le script de création temporaire de répertoire maketemp.pl qui permet à un utilisateur mal intentionné de porter atteinte à l'intégrité du système (CAN-2004-0559).
Une seconde vulnérabilité concerne une mauvaise gestion des messages électroniques au format HTML permettant à un utilisateur mal intentionné d'exécuter de code malicieux, via un message électronique habilement constitué.
Solution
Mettre à jour Usermin en version 1.090.
Usermin est téléchargeable à l'adresse suivante :
http://www.webmin.com/udownload.html
Documentation
- Site Internet de Usermin :
http://www.webmin.com/index6.html
- Liste des changements dans Usermin :
http://www.webmin.com/uchanges.html
- Liste des changements dans Usermin version 1.090 :
http://www.webmin.com/uchanges-1.090.html
- Bulletin de sécurité SNS No.77 du 07 septembre 2004 :
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory_e/77_e.html
- Bulletin de sécurité Gentoo GLSA 200409-15 du 12 septembre 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200409-15.xml
- Bulletin de sécurité Debian DSA-544 du 14 septembre 2004 :
http://www.debian.org/security/2004/dsa-544
- Bulletin de sécurité Mandrake MDKSA-2004:101 du 22 septembre 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:101
- Bulletin de sécurité FreeBSD pour webmin du 14 septembre 2004 :
http://www.vuxml.org/freebsd/
- Référence CVE CAN-2004-0559 :
https://www.cve.org/CVERecord?id=CAN-2004-0559
