Vulnérabilité dans Webmin & Usermin

Gestion du document

Référence	CERTA-2006-AVI-337
Titre	Vulnérabilité dans Webmin & Usermin
Date de la première version	06 août 2006
Date de la dernière version	06 août 2006
Source(s)	BUlletin de sécurité Gentoo GLSA 200608-11 du 06 août 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Webmin 1.280 et versions antérieures ;
Usermin 1.210 et versions antérieures.

Résumé

Une vulnérabilité découverte dans les applications Webmin et Usermin permet à un utilisateur mal intentionné de porter atteinte à la confidentialité des données présentes sur le système.

Description

Cette vulnérabilité est causée par une erreur dans le traitement des adresses réticulaires (URL). Un individu malveillant peut exploiter cette vulnérabilité au moyen d'une adresse réticulaire spécialement conçue pour ensuite accéder en lecture aux fichiers présents sur le système.

Solution

Appliquer la mise à jour de sécurité Webmin en passant à la version 1.290 disponible à l'adresse :

http://www.webmin.com

Appliquer la mise à jour de sécurité Usermin en passant à la version 1.220 disponible à l'adresse :

http://www.webmin.com/index6.html

Documentation

Bulletin de sécurité Webmin et Usermin du 29 juin 2006 :
```
http://www.webmin.com/securty.html
```
Bulletin de sécurité Gentoo GLSA-200608-11 du 06 août 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200608-11.xml
```
Bulletin de sécurité Mandriva MDKSA-2006:125 du 18 juillet 2006 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2006:125
```

Référence CVE CVE-2006-3392 :

https://www.cve.org/CVERecord?id=CVE-2006-3392

Avis du CERT-FR

Objet: Vulnérabilité dans Webmin & Usermin